Documente Academic
Documente Profesional
Documente Cultură
REV. 15-08-2018
Contenido
1. ESET Endpoint Security 7 ..................................................................................................... 8
1.1 Requisitos del sistema .................................................................................................................................................................................... 8
1.2 Prevención ........................................................................................................................................................................................................ 9
2. Documentación para los usuarios conectados por medio de ESET Remote Administrator ........... 10
2.1 Servidor de ESET Remote Administrator ................................................................................................................................................. 11
2.2 Consola web ................................................................................................................................................................................................... 11
2.3 Proxy ............................................................................................................................................................................................................... 12
2.4 Agente ............................................................................................................................................................................................................ 12
2.5 RD Sensor ....................................................................................................................................................................................................... 12
Procesadores compatibles:
• Procesador de 32 bits (x86) o 64 bits (x64), 1 GHz o superior
Sistemas operativos: Microsoft® Windows® 10/8.1/8/7/Vista
• Sistema operativo y el paquete de servicio necesario compatible con la versión del producto ESEN elegido e
instalado
• Se cumple con los requisitos del sistema operativo y otro software instalado en el equipo
• 0,3 GB de memoria libre en el sistema (consulte la Nota 1)
• 1 GB de memoria libre en el disco (consulte la Nota 2)
• Resolución mínima del monitor 1024x768
• Conexión a Internet o conexión a una red de área local a una fuente de actualizaciones del producto (consulte la
Nota 3)
Aunque podría ser posible instalar y ejecutar el producto en sistemas que no cumplen con esos requisitos,
recomendamos realizar una prueba de uso previa en base a los requisitos de rendimiento.
NOTA
(1): el producto podría usar memoria si esta estuviera sin uso en un equipo muy infectado o cuando se importan
grandes listados de datos al producto (por ejemplo, listas blancas de URL).
(2): el espacio en disco necesario para descargar el instalador, instalar el producto y guardar una copia del
paquete de instalación en los datos del programa y copias de seguridad de las actualizaciones del producto para
que sea compatible con la función de reversión. El producto podría usar más espacio en disco en diferentes
entornos (por ejemplo, cuando se almacenan más versiones de copias de seguridad de actualización del
producto, volcados de memoria o cuando se mantienen grandes cantidades de registros) o en un equipo
infectado (por ejemplo, debido a la función de cuarentena). Recomendamos tener suficiente espacio libre en
disco para admitir las actualizaciones del sistema operativo y para las actualizaciones de productos ESET.
(3): Aunque no es recomendado, el producto se podría actualizar manualmente desde un medio extraíble.
8
1.2 Prevención
Cuando trabaja con su equipo y, en particular, cuando navega por Internet, recuerde que ningún sistema antivirus
del mundo puede eliminar completamente el riesgo de las infiltraciones y de los ataques. Para ofrecer la máxima
protección y conveniencia, es imprescindible usar su solución antivirus correctamente y atenerse a varias reglas
útiles:
Actualizaciones habituales
De acuerdo con las estadísticas de ESET LiveGrid®, cada día se crean miles de infiltraciones nuevas y únicas para
evadir las medidas de seguridad existentes y generar ganancias para sus creadores (a costa de otros usuarios). Los
especialistas del laboratorio de virus de ESET analizan dichas amenazas diariamente, y luego preparan y lanzan
actualizaciones para mejorar en forma continua el nivel de protección de los usuarios. Para asegurar la máxima
eficacia de estas actualizaciones, es importante configurarlas adecuadamente en el sistema. Para obtener más
información sobre cómo configurar las actualizaciones, consulte el capítulo Configuración de la actualización.
9
2. Documentación para los usuarios conectados por medio de ESET
Remote Administrator
ESET Remote Administrator (ERA) es una aplicación que le permite administrar los productos ESET en un entorno de
red desde una ubicación central. El sistema de administración de tareas ESET Remote Administrator le permite
instalar soluciones de seguridad ESET en equipos remotos y responder rápidamente a nuevos problemas y
amenazas. ESET Remote Administrator no brinda protección contra códigos maliciosos en sí mismo, sino que confía
en la presencia de una solución de seguridad ESET en cada cliente.
Las soluciones de seguridad ESET son compatibles con redes que incluyen varios tipos de plataformas. Su red puede
incluir una combinación de los sistemas operativos actuales de Microsoft, basados en Linux y Mac, y sistemas
operativos que operen en dispositivos móviles (teléfonos móviles y tabletas).
La siguiente imagen representa una arquitectura de muestra para una red protegida mediante las soluciones de
seguridad ESET administradas a través de ERA:
NOTA
Para obtener más información, consulte ESET Remote Administrator Ayuda en línea.
10
2.1 Servidor de ESET Remote Administrator
El Servidor de ESET Remote Administrator es un componente primario de ESET Remote Administrator. Es la
aplicación ejecutiva que procesa todos los datos recibidos de los clientes que se conectan al servidor (a través del
Agente ERA). El Agente ERA facilita la comunicación entre el cliente y el servidor. Los datos (registros del cliente,
configuraciones, replicaciones del agente, etc.) se almacenan en una base de datos. Para procesar los datos
correctamente, el Servidor ERA requiere una conexión estable a un servidor de la base de datos. Recomendamos
que instale el Servidor ERA y su base de datos en servidores separados para optimizar el rendimiento. El equipo en
el que se instale el Servidor ERA debe estar configurado para aceptar todas las conexiones del Agente/Proxy/RD
Sensor, que se verifican mediante certificados. Una vez instalado, puede abrir la Consola web ERA que se conecta
con el Servidor ERA (tal como se muestra en el diagrama). Desde la Consola web, todas las operaciones del Servidor
ERA se llevan a cabo al administrar las soluciones de seguridad ESET dentro de su red.
La herramienta de Búsqueda rápida se encuentra en la parte superior de la Consola web. Seleccione desde el menú
desplegable Nombre de equipo, Dirección IPv4/IPv6 o Nombre de amenaza, ingrese su cadena de búsqueda en el
campo de texto, y haga clic en el símbolo de lupa o presione Intro para buscar. Se lo redireccionará a la sección
Grupos, donde se visualizará el resultado de su búsqueda.
NOTA
Para obtener más información, consulte ESET Remote Administrator Ayuda en línea.
11
2.3 Proxy
El Proxy ERA es otro componente de ESET Remote Administrator y cumple dos funciones. En el caso de una red de
empresas o medianas empresas con muchos clientes (por ejemplo, 10.000 clientes o más), puede usar el Proxy ERA
para distribuir la carga entre varios proxies ERA, lo que le quita carga al Servidor ERA principal. La otra ventaja del
Proxy ERA es que puede usarlo cuando se conecta a una sucursal remota con un enlace débil. Eso significa que el
Agente ERA en cada cliente no se conecta en forma directa al Servidor ERA, sino que a través de un Proxy ERA, que
se ubica en la misma red local que la sucursal. Esta configuración mantiene libre el enlace hacia la sucursal. El Proxy
ERA acepta conexiones de todos los Agentes ERA locales, compila sus datos y los sube al Servidor ERA principal (u
otro Proxy ERA). Esto permite que su red admita más clientes sin comprometer el rendimiento de su red y las
consultas de la base de datos.
Dependiendo de la configuración de su red, es posible que el Proxy ERA se conecte a otro Proxy ERA y, luego, se
conecte al Servidor ERA principal.
Para un correcto funcionamiento del Proxy ERA, el equipo host donde instale el Proxy ERA debe tener instalado un
Agente ESET y debe estar conectado al nivel superior (ya sea el Servidor ERA o un Proxy ERA superior, si existe
alguno) de su red.
2.4 Agente
El Agente ERA es un componente esencial del producto ESET Remote Administrator. Las soluciones de seguridad
ESET en los equipos cliente (por ejemplo, ESET Endpoint Security) se comunican con el Servidor ERA a través del
Agente. Esta comunicación permite la administración de las soluciones de seguridad ESET en todos los clientes
remotos desde una ubicación central. El agente recopila información del cliente y la envía al servidor. Cuando el
Servidor envía una tarea a un cliente, la tarea se envía al Agente que, luego, se comunica con el cliente. Toda la
comunicación de red ocurre entre el Agente y el sector superior de la red ERA: Servidor y Proxy.
El Agente de ESET utiliza uno de los tres métodos que figuran a continuación para conectarse al Servidor:
1. El Agente del Cliente se conecta directamente al Servidor.
2. El Agente del Cliente se conecta a través de un Proxy que está conectado al Servidor.
3. El Agente del Cliente se conecta al Servidor a través de varios Proxies.
El Agente de ESET se comunica con las soluciones ESET instaladas en un cliente, recopila la información de los
programas en dicho cliente y transfiere la información de configuración recibida del Servidor al cliente.
NOTA
El proxy de ESET tiene su propio Agente, que maneja todas las tareas de comunicación entre los clientes, otros
proxies y el Servidor.
2.5 RD Sensor
El Sensor RD (Rogue Detection) es un componente de ESET Remote Administrator diseñado para encontrar equipos
en su red. Brinda una forma conveniente de agregar nuevos equipos a ESET Remote Administrator sin la necesidad
de buscarlos y agregarlos en forma manual. Cada equipo que se encuentre en su red se visualizará en la Consola
web y se agregará al grupo predeterminado Todos. Desde aquí, puede tomar medidas adicionales con respecto a los
equipos cliente individuales.
El RD Sensor es un receptor pasivo que detecta aquellos equipos que están presentes en la red y envía la
información correspondiente al Servidor ERA. El Servidor ERA luego evalúa si los equipos encontrados en la red son
desconocidos o si ya están administrados.
12
3. Uso de ESET Endpoint Security por sí solo
Esta sección de esta Guía para el usuario está dedicada a los usuarios que utilizan ESET Endpoint Security sin ESET
Remote Administrator. Todas las características y funcionalidades de ESET Endpoint Security son completamente
accesibles, dependiendo de los derechos de la cuenta del usuario.
2. Lea el Contrato de licencia de usuario final y haga clic en Aceptar para dar su consentimiento. Si hace clic en
Rechazar finalizará la eliminación de la aplicación de seguridad existente en el equipo.
13
3. ESET AV Remover comenzará a buscar el software antivirus en el sistema.
4. Seleccione cualquier aplicación de antivirus enumerada y haga clic en Quitar. La eliminación puede llevar unos
minutos.
14
5. Cuando la eliminación se realice correctamente, haga clic en Continuar.
6. Reinicie el equipo para aplicar los cambios. Si no es posible realizar la instalación, consulte la sección La
desinstalación con ESET AV Remover finalizó con un error de esta guía.
15
3.1.2 La desinstalación con ESET AV Remover finalizó con un error
Si no puede quitar un programa antivirus con ESET AV Remover, recibirá una notificación que dirá que la aplicación
que está tratando de quitar podría no se compatible con ESET AV Remover. Para ver si este programa específico se
puede quitar, visite la lista de productos compatibles o los desinstaladores para software antivirus comunes de
Windows en la base de conocimiento de ESET.
Cuando falle la desinstalación de los productos de seguridad o cuando algunos de sus componentes se desinstale
parcialmente, se le solicitará Reiniciar y volver a explorar. Confirme UAC luego del inicio y continúe con el proceso
de exploración y desinstalación.
Si es necesario, póngase en contacto con el Servicio de atención al cliente de ESET para abrir una solicitud de
soporte y tenga el archivo AppRemover.log disponible para ayudar a los técnicos de ESET. El archivo
AppRemover.log se encuentra en la carpeta eset. Diríjase a %TEMP% en Windows Explorer para acceder a esta
carpeta. El servicio de atención al cliente de ESET responderá tan rápido como sea posible para ayudarlo a resolver
este problema.
16
3.2 Instalación
Una vez que haya iniciado el programa de instalación, el asistente de instalación lo guiará a través del proceso de
instalación.
IMPORTANTE
Asegúrese de que no haya otros programas antivirus instalados en el equipo. Si hay dos o más soluciones
antivirus instaladas en el mismo equipo, pueden entrar en conflicto. Es recomendable desinstalar cualquier otro
programa antivirus que haya en el sistema. Consulte nuestro artículo de la base de conocimiento para obtener
una lista de herramientas del desinstalador para el software antivirus común (disponible en inglés y otros
idiomas más).
En el paso siguiente, se mostrará el Acuerdo de licencia de usuario final. Léalo y haga clic en Aceptar para reconocer
que acepta los términos del Acuerdo de licencia de usuario final. Haga clic en Siguiente para aceptar los términos y
continuar con la instalación.
17
Una vez seleccionado “Acepto...” y hacer clic en Siguiente, se le solicitará que habilite ESET LiveGrid®. ESET
LiveGrid® ayuda a garantizar que a ESET se le informe en forma inmediata y continua sobre las nuevas infiltraciones,
lo que nos permite proteger mejor a nuestros clientes. El sistema le permite enviar las nuevas amenazas al
laboratorio de virus de ESET, donde se analizan, procesan y agregan al motor de detección.
18
3.2.1 Instalación avanzada
La instalación avanzada le permite personalizar un cierto número de parámetros de instalación no disponibles
cuando se realiza una instalación típica.
Después de seleccionar su preferencia por la detección de aplicaciones potencialmente no deseadas y hacer clic en
Configuración avanzada, se le solicitará que seleccione una ubicación para la instalación de la Carpeta de productos.
De forma predeterminada, el programa se instala en el siguiente directorio:
C:\Program Files\ESET\ESET Endpoint Security\
Puede indicar una ubicación para los módulos y datos del programa. De forma predeterminada, se instalan en los
siguientes directorios, respectivamente:
C:\Program Files\ESET\ESET Endpoint Security\
C:\ProgramData\ESET\ESET Endpoint Security\
Haga clic en Examinar… para cambiar estas ubicaciones (no recomendado).
En la siguiente ventana, puede elegir qué componentes del producto se instalarán. Los componentes del producto
en la sección Equipo incluyen Protección del sistema de archivos en tiempo real, Exploración del equipo, Protección
de documentos y Control del dispositivo. Tenga en cuenta que los primeros dos componentes son obligatorios para
que su solución de seguridad funcione. La sección Red ofrece la opción de instalar el Firewall, que monitorea todo
el tráfico de redes entrantes y salientes y aplica reglas para las conexiones individuales de redes. El Firewall
proporciona protección frente a ataques de equipos remotos. Los componentes en la sección Internet y correo
electrónico son responsables de su protección mientras que navega en Internet y se comunica por medio de correo
electrónico. El componente Actualizar servidor reflejado se puede utilizar para actualizar otros equipos en su red.
19
Para configurar las opciones del servidor proxy, seleccione Uso servidor proxy y haga clic en Siguiente. Ingrese la
dirección IP o el URL del servidor proxy en el campo Dirección. Si no está seguro de usar un servidor proxy para
conectarse a Internet, seleccione Utilizar la misma configuración que Internet Explorer (recomendado) y haga clic en
Siguiente. Si no usa un servidor proxy, seleccione No uso servidor proxy. Para obtener más información consulte
Servidor proxy.
20
La instalación personalizada le permite definir cómo se manejarán las actualizaciones automáticas del programa en
el sistema. Haga clic en Cambiar... para acceder a la configuración avanzada.
Si no desea que se actualicen los componentes del programa, seleccione Nunca actualizar los componentes del
programa. Seleccione Preguntar antes de descargar componentes del programa para mostrar una ventana de
confirmación cada vez que el sistema intente descargar componentes del programa. Para descargar los reemplazos
de componentes del programa en forma automática, seleccione Siempre actualizar los componentes del programa.
A continuación, seleccione un modo de filtrado para el Firewall de ESET. Hay cuatro modos de filtrado disponibles
para el Firewall de ESET Endpoint Security. La conducta del firewall cambia de acuerdo con el modo seleccionado.
Los modos de filtrado también influyen en el nivel requerido de interacción del usuario.
21
La siguiente ventana de instalación ofrece la opción de establecer una contraseña para proteger la configuración del
programa. Seleccione la opción Proteger las opciones de configuración mediante una contraseña e ingrese su
contraseña en los campos Nueva contraseña y Confirmar la nueva contraseña. Esta contraseña será necesaria para
cambiar o acceder a la configuración del ESET Endpoint Security. Cuando coincidan ambos campos de contraseña,
haga clic en Siguiente para continuar.
APPDATADIR=<path>
o ruta - Ruta de directorio válida
o Directorio de instalación de los datos de la aplicación.
MODULEDIR=<path>
o ruta - Ruta de directorio válida
o Directorio de instalación del módulo.
ADDLOCAL=<list>
o Instalación de componente: lista de características no obligatorias que se instalarán en forma local.
o Se utiliza con los paquetes de ESET .msi: ees_nt64_ENU.msi /qn ADDLOCAL=<list>
o Para obtener más información acerca de la propiedad ADDLOCAL vea http://msdn.microsoft.com/en-
us/library/aa367536%28v=vs.85%29.aspx
Reglas
o El ADDLOCAL list es una lista separada por comas de todos los nombres de las características que se instalarán.
o Al seleccionar una característica para instalar, toda la ruta (todas las características principales) deberá incluirse
de forma explícita en la lista.
o Vea reglas adicionales para utilizarlo correctamente.
Presencia de característica
22
o Obligatoria: la característica se instalará siempre
o Opcional: se podrá deseleccionar la característica durante la instalación
o Invisible: función lógica obligatorio para que otras características funcionen correctamente
o Marcador: característica que no tiene ningún efecto en el producto, pero debe figurar con las sub-funciones
EL árbol de características del Endpoint 6.1 es el siguiente:
Árbol de características Nombre de característica Presencia de característica
Equipo Equipo Obligatoria
Equipo / Antivirus y antispyware Antivirus Obligatoria
Equipo / Antivirus y antispyware > Protección del Protección en tiempo real Obligatoria
sistema de archivos en tiempo real
Equipo / Antivirus y antispyware > Exploración del Exploración Obligatoria
equipo
Equipo / Antivirus y antispyware > Protección de Protección de documentos Opcional
documentos
Equipo / Control del dispositivo Control de dispositivo Opcional
Red Red Marcador
Red/Firewall Firewall Opcional
Web y correo electrónico Web y correo electrónico Marcador
Filtrado de protocolo Web y de correo electrónico Filtrado de protocolo Invisible
Web y correo electrónico / Protección del acceso a la Protección de acceso Web Opcional
Web
Web y correo electrónico / Protección de cliente de Protección de cliente de Email Opcional
correo electrónico
Web y correo electrónico / Protección de cliente de Complementos de correo Invisible
correo electrónico / Complementos de correo
Web y correo electrónico / Protección de cliente de Antispam Opcional
correo electrónico / Protección antispam
Web y correo electrónico / Control Web Control Web Opcional
Mirror de actualización Mirror de actualización Opcional
Soporte de Microsoft NAP MicrosoftNAP Opcional
Reglas adicionales
o Si se selecciona una de las características de Web y correo electrónico para su desinstalación, la característica
invisible Filtrado de protocolo debe incluirse explícitamente en la lista.
o Si se selecciona una de las subcaracterísticas de Protección de cliente de correo electrónico para su
desinstalación, la característica invisible Complementos de correo debe incluirse explícitamente en la lista
Ejemplos:
ees_nt64_ENU.msi /qn ADDLOCAL=WebAndEmail,WebAccessProtection,ProtocolFiltering
23
CFG_PROXY_ADDRESS=<ip>
• Dirección IP de proxy.
CFG_PROXY_PORT=<port>
• Número de puerto de proxy.
CFG_PROXY_USERNAME=“<user>”
• Nombre de usuario para la autenticación.
CFG_PROXY_PASSWORD=“<pass>”
• Contraseña para la autenticación.
Instalación mediante SCCM, deshabilitar el diálogo de activación :
ACTIVATION_DLG_SUPPRESS=1
• 1 - habilitado (No se muestra el diálogo de activación)
• 0 - Deshabilitado (Se muestra el diálogo de activación)
24
3.6 Reemplazo a una versión más reciente
Las versiones nuevas de ESET Endpoint Security se emiten para brindar mejoras del programa o para resolver
problemas que no se pueden solucionar mediante la actualización automática de los módulos del programa. El
reemplazo a una versión más reciente se puede realizar de varias maneras:
1. Reemplazar automáticamente mediante una actualización del programa.
Dado que la actualización del programa se distribuye a todos los usuarios y puede afectar ciertas configuraciones
del sistema, se emite luego de un largo período de prueba para asegurarse de que funciona con todas las
configuraciones posibles de sistema. Si necesita actualizar el programa por una versión posterior
inmediatamente después de su lanzamiento, use uno de los siguientes métodos.
2. En forma manual, mediante la descarga e instalación de la versión más reciente sobre la instalación previa.
3. En forma manual, por medio del despliegue automático en un entorno de red mediante ESET Remote
Administrator.
25
La pantalla Estado de protección le brinda información sobre el nivel de protección actual de su equipo y la
seguridad. El estado Protección máxima, en color verde, indica que la máxima protección está asegurada.
La ventana de estado también muestra enlaces rápidos a funciones de uso frecuente en ESET Endpoint Security e
información acerca de la última actualización.
26
¿Qué hacer si el programa no funciona correctamente?
Se verá un tilde verde al lado de todos los módulos del programa que son completamente funcionales. Se mostrará
un signo de exclamación rojo o un ícono de notificación naranja si un módulo necesitara atención. En la parte
superior de la ventana se muestra información adicional sobre el módulo, incluida nuestras recomendaciones sobre
cómo restaurar la funcionalidad completa. Para cambiar el estado de un módulo, haga clic en Configuración en el
menú principal y luego en el módulo deseado.
27
El ícono rojo con un signo de exclamación (!) indica que la máxima protección del equipo no está asegurada.
Puede encontrarse con este tipo de notificación en los siguientes escenarios:
· La protección antivirus y antispyware está pausada – Haga clic en Iniciar todos los módulos de protección antivirus
y antispyware para volver a habilitar la protección antivirus y antispyware en el panel Estado de la protección o
bien Habilite la protección antivirus y antispyware en el panel Configuración en la ventana principal del programa.
· La protección antivirus no es funcional – Falló la inicialización de escaneo de virus. La mayoría ESET Endpoint
Security de los módulos no funcionará correctamente.
· La protección Anti-Phishing no es funcional – Esta característica no es funcional porque otros módulos requeridos
del programa no están activos.
· El Firewall de ESET está deshabilitado – Este problema se indica mediante un ícono rojo y una notificación de
seguridad ubicada junto al elemento Red. Haga clic en Habilitar el modo filtrar para volver a habilitar la protección
de red.
· Falló la inicialización del Firewall – El Firewall personal se deshabilitó a causa de problemas de integración del
sistema. Reinicie su computadora lo antes posible.
· Motor de detección desactualizado – Está utilizando un motor de detección obsoleto. Actualice el motor de
detección.
· El producto no está activado o La licencia está vencida– Se indica mediante el ícono rojo de Estado de la
protección. Una vez que se vence la licencia, el programa no se podrá actualizar. Es recomendable que siga las
instrucciones en la ventana de alerta para renovar su licencia.
· Se inhabilitó el Sistema de prevención de intrusiones basado en el host (HIPS, por su sigla en inglés) – Se indica
este problema cuando se inhabilita HIPS desde Configuración avanzada. Su computadora no está protegida contra
algunos tipos de amenazas y debe volver a habilitarse la protección inmediatamente haciendo clic en Habilitar
HIPS.
· ESET LiveGrid® está inhabilitado – Este problema se indica cuando ESET LiveGrid® está inhabilitado en
Configuración avanzada.
· No se programaron actualizaciones regulares – ESET Endpoint Security no buscará o recibirá actualizaciones
importantes a menos que usted programe la tarea de actualización.
· Anti-Stealth se inhabilitó – Haga clic en Habilitar Anti-Stealth para volver a habilitar esta funcionalidad.
· Se pausó la protección del sistema de archivos en tiempo real – El usuario inhabilitó la protección en tiempo real.
Su computadora no está protegida contra amenazas. Haga clic en Habilitar protección en tiempo real para volver a
habilitar esta funcionalidad.
La «i» en naranja indica que su producto ESET requiere atención por un problema que no es crítico. Las
razones posibles incluyen:
· La protección del acceso a la Web está inhabilitada – Haga clic en la notificación de seguridad para volver a
habilitar la protección del acceso a la Web y luego haga clic en Habilitar protección del acceso a la Web.
· La licencia se vencerá pronto – Se indica mediante el ícono de estado de protección, que muestra un signo de
exclamación. Una vez que se vence la licencia, el programa no podrá actualizarse y el ícono de estado de
protección se pondrá rojo.
· Se pausó la protección contra botnets – Haga clic en Habilitar la protección contra botnets para volver a habilitar
esta característica.
· Se pausó la protección contra ataques en la red (IDS) – Haga clic en Habilitar la protección contra ataques en la red
(IDS) para volver a habilitar esta característica.
· Se pausó la protección Antispam – Haga clic en Habilitar la protección Antispam para volver a habilitar esta
característica.
· Se pausó el control Web – Haga clic en Habilitar control Web para volver a habilitar esta característica.
· Anulación de política activa– La configuración establecida por la política se encuentra temporalmente anulada,
posiblemente hasta finalizar la resolución de problemas. Solo el usuario autorizado puede anular la configuración
de la política. Para obtener más información, consulte Cómo utilizar el modo Anulación.
· Se pausó el control del dispositivo – Haga clic en Habilitar control del dispositivo para volver a habilitar esta
característica.
Si no puede solucionar el problema mediante las sugerencias, haga clic en Ayuda y soporte para acceder a los
28
archivos de ayuda o buscar en la base de conocimiento de ESET. Si sigue necesitando asistencia, puede enviar una
solicitud de soporte al servicio de atención al cliente de ESET. El servicio de atención al cliente de ESET responderá
rápidamente a sus preguntas y lo ayudará a encontrar una resolución.
NOTA
Si un estado pertenece a una característica bloqueada por la política ERA, no se podrá hacer clic en el enlace.
29
La ventana Configuración avanzada (haga clic en Configuración > Configuración avanzada en el menú principal, o
presione la tecla F5 del teclado) contiene opciones adicionales de actualización. Para configurar las opciones
avanzadas de actualización, como el modo de actualización, el acceso al servidor proxy, las conexiones de la LAN y la
configuración de la creación de copias del motor de detección, haga clic en Actualizar en el árbol Configuración
avanzada. En caso de que experimente problemas con una actualización, haga clic en Borrar para borrar el caché de
actualización temporal. El menú Servidor de actualización está configurado en SELECCIONAR AUTOMÁTICAMENTE
en forma predeterminada. Al utilizar un servidor de ESET, recomendamos que deje seleccionada la opción Elegir
automáticamente. Si no desea que aparezca la notificación de la bandeja del sistema en el sector inferior derecho
de la pantalla, seleccione Deshabilitar mostrar notificación acerca de actualización correcta.
Para un funcionamiento óptimo, es importante que el programa se actualice automáticamente. Esto solo será
posible si se ingresa la Clave de licencia correcta en Ayuda y soporte > Activar el producto.
Si no ingresó su Clave de licencia luego de la instalación, puede hacerlo en cualquier momento. Para obtener
información más detallada acerca de la activación, consulte Cómo activar ESET Endpoint Security e ingrese las
credenciales que recibió con su producto de seguridad ESET en la ventana Detalles de licencia.
30
3.7.3 Configuración de zonas
Es necesario configurar las Zonas de confianza para proteger el equipo en un entorno de red. Puede permitir que
otros usuarios accedan a su equipo mediante la configuración de una Zona de confianza para permitir el uso
compartido. Haga clic en Configuración avanzada (F5) > Firewall > Zonas para acceder a las configuraciones de las
Zonas de confianza.
La detección de la Zona de confianza se realiza luego de la instalación de ESET Endpoint Security y cada vez que el
equipo se conecta a una nueva red. Por lo tanto, generalmente no es necesario definir la Zona de confianza. En
forma predeterminada, se muestra una ventana de diálogo al detectar una nueva zona, donde el usuario puede
establecer el nivel de protección para dicha zona.
IMPORTANTE
Una configuración incorrecta de la zona de confianza puede constituir un riesgo de seguridad para el equipo.
NOTA
En forma predeterminada, las estaciones de trabajo de una zona de confianza cuentan con permiso de acceso a
los archivos e impresoras compartidos, tienen la comunicación RPC entrante habilitada y tienen disponible el uso
compartido del escritorio remoto.
31
3.8 Preguntas habituales
Este capítulo abarca las preguntas más frecuentes y los problemas que se pueden encontrar. Haga clic en el título de
un tema para obtener información sobre cómo solucionar el problema:
Cómo actualizar ESET Endpoint Security
Cómo activar ESET Endpoint Security
Cómo usar las credenciales actuales para activar un producto nuevo
Cómo quitar un virus del equipo
Cómo permitir la comunicación para una aplicación específica
Cómo crear una nueva tarea en Tareas programadas
Cómo programar una tarea de exploración (cada 24 horas)
Cómo conectar mi producto a ESET Remote Administrator
Cómo configurar un servidor reflejado
Si el problema no está contemplado en la lista de páginas de ayuda precedente, intente buscarlo en las Páginas de
ayuda de ESET Endpoint Security por palabra clave o mediante una frase que describa el problema.
Si no puede encontrar la solución a su problema o pregunta en las Páginas de ayuda, visite la Base de conocimiento
de ESET donde se encuentran disponibles las respuestas a preguntas y problemas habituales.
¿Cómo elimino el troyano Sirefef (ZeroAccess)?
Actualizar la lista de verificación para la resolución de problemas de Mirror
¿Qué direcciones y puertos en mi firewall de terceros debería abrir para permitir la funcionalidad plena de mi
producto de ESET?
En caso de ser necesario, también puede ponerse en contacto con nuestro centro de soporte técnico en línea para
consultar sus preguntas o problemas. El vínculo a nuestro formulario de contacto en línea se puede encontrar en el
panel Ayuda y soporte de la ventana principal del programa.
32
de la cantidad total de licencias disponibles. Para mayor información sobre la generación de un archivo sin
conexión, consulte la ESET License Administrator Guía para el usuario.
Haga clic en Activar más tarde si su equipo es miembro de una red administrada, y su administrador realizará la
activación remota a través de ESET Remote Administrator. También puede utilizar esta opción si desea activar este
cliente más tarde.
Si tiene un nombre de usuario y una contraseña y no sabe cómo activar ESET Endpoint Security haga clic en Tengo un
nombre de usuario y una contraseña, ¿cuál es el siguiente paso? Será redirigido a ESET License Administrator, donde
podrá convertir sus credenciales en una clave de licencia.
Podrá cambiar la licencia del producto en cualquier momento. Para realizar esto, haga clic en Ayuda y soporte >
Administrar licencia en la ventana principal del programa. Verá la identificación de la licencia pública utilizada para
identificar su licencia con el soporte de ESET. El nombre de usuario bajo el cual su equipo está registrado se
almacena en la sección Acerca de que puede ver al hacer clic derecho en el ícono de la bandeja del sistema .
NOTA
puede activar computadoras de clientes de manera silenciosa con el uso de licencias que el administrador pone a
disposición. Para obtener instrucciones sobre cómo hacer esto, consulte la Guía para el usuario de ESET Remote
Administrator.
3.8.3 Cómo usar las credenciales actuales para activar un producto nuevo
Si ya tiene su Nombre de usuario y Contraseña, y le gustaría recibir una Clave de licencia, visite el portal de ESET
License Administrator, donde puede convertir sus credenciales en una nueva Clave de licencia.
33
3.8.5 Cómo permitir la comunicación para una aplicación específica
Si se detecta una nueva conexión en el modo interactivo y no hay ninguna regla coincidente, el programa le
solicitará que permita o deniegue la conexión. Si desea que ESET Endpoint Security realice la misma acción cada vez
que la aplicación intente establecer una conexión, seleccione la casilla de verificación Recordar acción (crear regla).
Puede crear nuevas reglas de firewall personal para las aplicaciones antes de que ESET Endpoint Security las detecte
en la ventana de configuración del firewall, ubicada en Configuración avanzada > Firewall > Básico > Reglas haciendo
clic en Editar.
Haga clic en Agregar para agregar la regla. En la pestaña General, ingrese el nombre, la dirección y el protocolo de
comunicación para la regla. Esta ventana permite definir la acción que se tomará cuando se aplique la regla.
Ingrese la ruta al archivo ejecutable de la aplicación y el puerto de comunicación local en la pestaña Local. Haga clic
en la pestaña Remoto para ingresar la dirección y el puerto remotos (de ser necesario). La nueva regla creada se
aplicará en cuanto la aplicación vuelva a intentar comunicarse.
34
En el menú desplegable Tarea programada, seleccione Actualización. Ingrese el nombre de la tarea en el campo
Nombre de la tarea y haga clic en Siguiente. Seleccione la frecuencia de la tarea. Se encuentran disponibles las
siguientes opciones: Una vez, Reiteradamente, Diariamente, Semanalmente y Cuando se cumpla la condición.
Seleccione Omitir tarea al ejecutar con alimentación de la batería para reducir los recursos del sistema mientras un
equipo portátil se ejecuta con alimentación de la batería. La tarea se ejecutará en la fecha y hora especificadas en
los campos de Ejecución de la tarea. A continuación, defina la acción a tomar en caso de que la tarea no se pueda
realizar o completar a la hora programada. Se encuentran disponibles las siguientes opciones:
· A la próxima hora programada
· Lo antes posible
· Inmediatamente, si el tiempo desde la última ejecución excede un valor específico (el intervalo se puede definir
con el uso del cuadro de desplazamiento del Tiempo desde la última ejecución)
En el siguiente paso, se muestra una ventana de resumen con información acerca de la tarea actual programada.
Haga clic en Finalizar cuando haya terminado de realizar los cambios.
Aparecerá una ventana de diálogo desde donde se le permite seleccionar los perfiles que se usarán para la tarea
programada. Aquí puede configurar el perfil principal y el alternativo. El perfil alternativo se utiliza si la tarea no se
puede completar con el perfil principal. Confirme haciendo clic en Finalizar y la nueva tarea programada se agregará
a la lista de tareas actualmente programadas.
35
3.8.9 Cómo configurar un servidor reflejado
ESET Endpoint Security se puede configurar para almacenar copias de los archivos de actualización del motor de
detección y distribuir las actualizaciones a otras estaciones de trabajo que estén ejecutando ESET Endpoint Security
o ESET Endpoint Antivirus.
Configuración de ESET Endpoint Security como un servidor Mirror para proporcionar actualizaciones mediante un
servidor HTTP interno
Presione F5 para acceder a Configuración avanzada, y expanda Actualizar > Básico. Asegúrese de que el Servidor de
actualización esté configurado en SELECCIONAR AUTOMÁTICAMENTE. Seleccione Crear servidor reflejado de
actualización y Proporcionar archivos de actualización mediante el servidor HTTP interno en Configuración avanzada
> Básico > Mirror.
Configuración de un servidor Mirror para proporcionar actualizaciones mediante una carpeta compartida de red
Cree una carpeta compartida en un dispositivo local o de red. Esta carpeta debe ser legible para todos los usuarios
que ejecuten soluciones de seguridad de ESET y se debe poder escribir desde la cuenta de SISTEMA local. Active
Crear servidor reflejado de actualización en Configuración avanzada > Básico > Mirror. Examine y seleccione la
carpeta compartida creada.
NOTA
Si no desea realizar la actualización mediante el servidor HTTP interno, quite Proporcionar archivos de
actualización mediante el servidor HTTP interno.
36
3.8.11 Cómo utilizar el modo anulación
Los usuarios con los productos ESET para Endpoint (versión 6.5 y superior) para Windows instalado en sus equipos
pueden utilizar la característica de anulación. El modo anulación le permite a los usuarios en el nivel cliente-
computadora cambiar la configuración en el producto ESET instalado, incluso si hubiera una política aplicada sobre
esta configuración. El modo anulación puede habilitarse para ciertos usuarios AD, o puede estar protegida por
contraseña. La función no puede habilitarse por más de cuatro horas de una sola vez.
ADVERTENCIA
El modo anulación no puede detenerse desde la consola web de ERA una vez que se habilita. La anulación se
deshabilita únicamente una vez que el período de anulación expira, o una vez que el mismo cliente la apaga.
Tras la aplicación de la anulación de la política desde ERA Server hasta el agente ERA, aparecerá un botón en las
Configuraciones avanzadas (de Endpoint en el cliente): Anular política.
1. Haga clic en Anular política.
2. Establezca la fecha/hora y haga clic en Aplicar.
3. Habilite los derechos elevados para la aplicación ESET.
37
4. Ingrese la contraseña determinada por la política (o ninguna contraseña si se configuró el usuario de Active
Directory en la política).
5. Habilite los derechos elevados para la aplicación ESET.
6. El modo Anulación ya está activo.
7. Para finalizar, haga clic en Finalizar anulación.
SUGERENCIA
Si John tiene un problema con la configuración de su endpoint porque bloquea alguna funcionalidad importante
o el acceso a la web en su máquina, el Administrador puede permitir que John anule la política existente de su
endpoint y que corrija los ajustes manualmente en su máquina. Luego, es posible que ERA solicite estos ajustes
para que el Administrador pueda crear una nueva política de ellos.
Para hacerlo, siga los siguientes pasos:
1. Navegue hasta Admin > Políticas > Nueva política.
2. Complete los campos Nombre y Descripción. En la sección Configuración, seleccione ESET Endpoint para
Windows.
3. Haga clic en Modo anulación, habilite el modo anulación durante una hora y seleccione John como usuario
AD.
4. Asigne la política a la computadora de John y haga clic en Finalizar para guardar la política.
5. John tiene que habilitar el Modo anulación en este endpoint de ESET y cambie los ajustes manualmente en su
máquina.
6. En la consola web de ERA, navegue a Computadoras, seleccione la computadora de John y haga clic en
Mostrar detalles.
7. En la sección Configuración, haga clic en Solicitar configuración para programar una tarea de cliente para
obtener la configuración de cliente ASAP.
8. Tras un corto período, aparecerá la nueva configuración. Haga clic en el producto de los ajustes que desea
guardar y luego haga clic en Abrir configuración.
9. Puede repasar los ajustes y luego hacer clic en Convertir a política.
10. Complete los campos Nombre y Descripción.
11. En la sección Configuración, usted puede modificar los ajustes, de ser necesario.
12. En la sección Asignar, usted puede asignar esta política para la computadora de John (u otras).
13. Haga clic en Finalizar para guardar los ajustes.
14. No olvide quitar la política de anulación una vez que ya no la necesite.
38
3.8.12 Cómo activar el monitoreo y la administración remotos
El Monitoreo y la Administración Remotos (RMM) es el proceso de supervisión y control de sistemas de software
(como aquellos presentes en equipos de escritorio, servidores y dispositivos móviles) mediante el uso de un agente
instalado localmente al que se puede acceder a través de un proveedor de servicios de administración.
De forma predeterminada, ESET RMM está deshabilitado. Para habilitar ESET RMM, presione F5 para acceder a
Configuración avanzada, haga clic en Herramientas, expanda ESET RMM y active el interruptor que se encuentra
junto a Habilitar RMM.
Modo de funcionamiento – Seleccione el modo de funcionamiento de RMM del menú desplegable. Hay dos
opciones disponibles: Solo operaciones seguras y Todas las operaciones.
Método de autorización – Configure el método de autorización de RMM. Para usar la autorización, seleccione Ruta
de aplicación del menú desplegable; de lo contrario, seleccione Ninguno.
ADVERTENCIA
RMM siempre debe utilizar autorización para evitar que el software malicioso deshabilite o evada la protección
de ESET Endpoint.
Rutas de aplicaciones – Si ha seleccionado Ruta de aplicación como método de autorización, haga clic en Editar para
abrir la ventana de configuración Rutas de aplicaciones de RMM habilitadas.
39
Agregar – Cree una nueva ruta de aplicación de RMM habilitada. Ingrese la ruta o haga clic en el botón … para
seleccionar un ejecutable.
Editar – Modifica una ruta habilitada existente. Use Editar si la ubicación del ejecutable ha cambiado a otra carpeta.
Eliminar – Elimina una ruta habilitada existente.
En la instalación predeterminada de ESET Endpoint Security, el archivo ermm.exe se encuentra en el directorio de la
aplicación Endpoint (ruta predeterminada: c:\Program Files\ESET\ESET Security ). ermm.exe intercambia
información con el complemento RMM, que se comunica con el agente RMM, conectado a un servidor RMM.
· ermm.exe – utilidad de la línea de comandos desarrollada por ESET que permite la administración de los
productos de Endpoint y la comunicación con cualquier complemento RMM.
· El complemento RMM es una aplicación de terceros que se ejecuta localmente en un sistema Endpoint para
Windows. El complemento se diseñó para comunicarse con agentes RMM específicos (por ejemplo,
exclusivamente con Kaseya) y con ermm.exe.
· El agente RMM es una aplicación de terceros (por ejemplo, de Kaseya) que se ejecuta localmente en un sistema
Endpoint para Windows. El agente se comunica con el complemento RMM y con el servidor RMM.
· El servidor RMM se está ejecutando como servicio en un servidor de terceros. Los sistemas RMM compatibles son
los desarrollados por Kaseya, Labtech, Autotask, Max Focus y Solarwinds N-able.
40
El menú Configuración contiene las siguientes secciones:
· Equipo
· Red
· Internet y correo electrónico
La configuración de la protección del Equipo permite habilitar o deshabilitar los siguientes componentes:
· Protección del sistema de archivos en tiempo real – se exploran todos los archivos en busca de códigos maliciosos
cuando se abren, crean o ejecutan en el equipo.
· Protección de documentos – la función para la protección de documentos explora los documentos de Microsoft
Office antes de que se abran, así como los archivos descargados automáticamente por Internet Explorer, por ej.,
los elementos ActiveX de Microsoft.
· HIPS – el sistema HIPS monitorea los sucesos que ocurren dentro del sistema operativo y reacciona a ellos según
un grupo de reglas personalizado.
· Modo presentación – una función para los usuarios que requieren usar el software en forma ininterrumpida, que
no desean que las ventanas emergentes los molesten y que quieren minimizar el uso de la CPU. Recibirá un
mensaje de advertencia (riesgo potencial en la seguridad) y la ventana principal del programa se pondrá de color
naranja una vez habilitado el Modo de presentación.
· Protección Anti-Stealth – proporciona la detección de programas peligrosos como los rootkits, que tienen la
capacidad de ocultarse del sistema operativo. Esto significa que no es posible detectarlos mediante técnicas de
evaluación comunes.
La sección Red le permite habilitar o deshabilitar el Firewall, la Protección contra ataques de red y la Protección
contra botnets.
41
La configuración de la protección de Internet y correo electrónico permite habilitar o deshabilitar los siguientes
componentes:
· Control web – bloquea las páginas Web que puedan contener material potencialmente ofensivo. Además, los
administradores del sistema pueden especificar preferencias de acceso para 27 categorías de sitios Web
predefinidos.
· Protección del acceso a la Web – si se encuentra habilitada, todo el tráfico que pase a través de HTTP o HTTPS se
explora en busca de software malicioso.
· Protección del cliente de correo electrónico – monitorea las comunicaciones recibidas a través de los protocolos
POP3 e IMAP.
· Protección antispam – explora en busca de correo electrónico no solicitado o spam.
· Protección Anti-Phishing – Lo protege de sitios web ilegítimos disfrazados de legítimos que intentan obtener
contraseñas, datos bancarios y demás información confidencial.
Para deshabilitar temporalmente los módulos individuales, haga clic en el interruptor verde junto al módulo
deseado. Tenga en cuenta que esto puede disminuir el nivel de protección del equipo.
Para volver a habilitar la protección de un componente de seguridad deshabilitado, haga clic en el interruptor rojo
para regresar un componente a su estado de habilitado.
Cuando se aplique la política de ERA, verá el ícono de candado al lado de un componente específico. La política
aplicada por ESET Remote Administrator puede anularse localmente tras la autenticación por el usuario registrado
(p. ej. administrador). Para obtener más información, consulte ESET Remote Administrator Ayuda en línea.
NOTA
Todas las medidas de protección que se deshabiliten de esta forma, se volverán a habilitar luego del reinicio del
equipo.
Para acceder a la configuración detallada para un componente de seguridad específico, haga clic en la rueda de
engranaje que se encuentra junto a cualquier componente.
Hay opciones adicionales en la parte inferior de la ventana de configuración. Para cargar los parámetros de
configuración mediante un archivo de configuración .xml o para guardar los parámetros de configuración actuales en
un archivo de configuración, use la opción Importar/Exportar ajustes. Consulte Importar/Exportas ajustes en busca
de información más detallada.
Para ver opciones más detalladas, haga clic en Configuración avanzada o presione la tecla F5.
3.9.1 Equipo
El módulo Equipo se puede encontrar bajo Configuración > Equipo. Muestra una vista general de los módulos de
protección que se describen en el capítulo anterior. En esta sección, las siguientes configuraciones están
disponibles:
Haga clic en la rueda de engranaje junto a Protección del sistema de archivos en tiempo real y haga clic en Editar
exclusiones para abrir la ventana de configuración Exclusión, que le permite excluir archivos y carpetas de la
exploración.
NOTA
Es posible que el estado de protección de documentos no esté disponible hasta que no lo habilite en
Configuración avanzada (F5) > Antivirus > Protección de documentos. Una vez habilitada, es necesario que
reinicie su equipo desde el panel Configuración > Equipo mediante un clic en Restablecer en Control de
dispositivos, o puede hacerlo desde el panel Estado de protección mediante un clic en Reiniciar el equipo.
42
Configurar la exploración del equipo... – haga clic para ajustar los parámetros de la exploración del equipo
(exploración ejecutada en forma manual).
43
3.9.1.1.1 Detección de una infiltración
Las infiltraciones pueden llegar al sistema desde diversos puntos de entrada, como páginas Web, carpetas
compartidas, correo electrónico o dispositivos extraíbles (USB, discos externos, CD, DVD, disquetes, etc.).
Conducta estándar
Como ejemplo general de la forma en que ESET Endpoint Security maneja las infiltraciones, las infiltraciones se
pueden detectar mediante:
· Protección del sistema de archivos en tiempo real
· Protección del acceso a la Web
· Protección del cliente de correo electrónico
· Exploración del equipo a pedido
Cada uno utiliza el nivel de desinfección estándar e intentará desinfectar el archivo y moverlo a Cuarentena o
finalizar la conexión. Una ventana de notificación se muestra en el área de notificaciones en la esquina inferior
derecha de la pantalla. Para obtener más información sobre los niveles de desinfección y conducta, consulte
Desinfección.
44
Desinfección y eliminación
Si no hay ninguna acción predefinida para la protección del sistema de archivos en tiempo real, el programa le
pedirá que seleccione una opción en una ventana de alerta. Por lo general están disponibles las opciones
Desinfectar, Eliminar y Sin acción. No se recomienda seleccionar Sin acción, ya que esto dejará los archivos
infectados sin desinfectar. La excepción a este consejo es cuando usted está seguro de que un archivo es inofensivo
y fue detectado por error.
Aplique la opción de desinfección si un virus atacó un archivo y le adjuntó códigos maliciosos. En este caso, primero
intente desinfectar el archivo infectado para restaurarlo a su estado original. Si el archivo está compuesto
exclusivamente por códigos maliciosos, será eliminado.
Si un archivo infectado está “bloqueado” u otro proceso del sistema lo está usando, por lo general se elimina
cuando es liberado (normalmente luego del reinicio del sistema).
Varias amenazas
Si algún archivo infectado no se desinfectó durante la exploración del equipo (o el Nivel de desinfección estaba
configurado en Sin desinfección), se muestra una ventana de alerta que le solicitará seleccionar la acción para
dichos archivos.
Si su equipo muestra signos de infección por malware; por ejemplo, funciona más lento, con frecuencia no
responde, etc., se recomienda hacer lo siguiente:
· abra ESET Endpoint Security y haga clic en Exploración del equipo
· Haga clic en Exploración inteligente (para obtener más información, consulte en Exploración del equipo),
· Una vez finalizada la exploración, consulte el registro para verificar la cantidad de archivos explorados, infectados
y desinfectados
Si solo quiere explorar una parte determinada del disco, haga clic en Exploración personalizada y seleccione los
objetos para explorar en busca de virus.
45
3.9.1.2 Caché local compartido
El caché local compartido aumentará el rendimiento en los entornos virtualizados mediante la eliminación de la
exploración duplicada en la red. Esto garantiza que cada archivo se explorará solo una vez y se almacenará en el
caché compartido. Active el interruptor Habilitar caché local para guardar la información en el caché local sobre las
exploraciones de los archivos y las carpetas en su red. Si realiza una nueva exploración, ESET Endpoint Security
buscará los archivos explorados en el caché. Si los archivos coinciden, se excluirán de la exploración.
La configuración del Servidor del caché contiene lo siguiente:
· Nombre de host – nombre o dirección IP del equipo donde se ubica el caché.
· Puerto – número del puerto utilizado para la comunicación (el mismo que fue configurado en el Caché local
compartido).
· Contraseña – especifique la contraseña del Caché local compartido de ESET en caso de que se la requiera.
En forma predeterminada, la protección del sistema de archivos en tiempo real se activa junto con el inicio del
sistema y proporciona una exploración ininterrumpida. En casos especiales (por ejemplo, si existe un conflicto con
otro explorador en tiempo real), se puede deshabilitar la protección en tiempo real quitando Habilitar la protección
del sistema de archivos en tiempo real en la Configuración avanzada de Protección del sistema de archivos en
tiempo real > Básico.
46
Recomendamos que use la configuración predeterminada y solo modificarla en casos específicos, como por ej., si al
explorar ciertos medios, se ralentizan significativamente las transferencias de archivos.
Explorar al
En forma predeterminada, se exploran todos los archivos cuando se abren, crean o ejecutan. Se recomienda
mantener estas configuraciones predeterminadas, ya que proveen el máximo nivel de protección en tiempo real
del equipo:
· Abrir el archivo – habilita o deshabilita la exploración cuando se abren los archivos.
· Crear el archivo – habilita o deshabilita la exploración cuando se crean los archivos.
· Ejecutar el archivo – habilita o deshabilita la exploración cuando se ejecutan los archivos.
· Acceso de medios extraíbles – habilita o deshabilita la exploración activada al acceder a medios extraíbles
particulares con espacio de almacenamiento.
La protección del sistema de archivos en tiempo real verifica todos los tipos de medios y el control se acciona por
diversos sucesos, como el acceso a un archivo. Al usar los métodos de detección de la tecnología ThreatSense
(descritos en la sección titulada Configuración de los parámetros del motor ThreatSense), la protección del sistema
de archivos en tiempo real puede configurarse para tratar nuevos archivos creados de modo diferente a los ya
existentes. Por ejemplo, puede configurar la protección del sistema de archivos en tiempo real para controlar más
de cerca a los nuevos archivos creados.
Para asegurar el mínimo impacto en el sistema al usar la protección en tiempo real, los archivos que ya se
exploraron no se vuelven a explorar reiteradamente (a menos que se hayan modificado). Se exploran los archivos
nuevamente inmediatamente después de cada actualización del motor de detección. Este comportamiento se
controla mediante el uso de la Optimización inteligente. Si se deshabilita esta Optimización inteligente, se exploran
todos los archivos cada vez que se accede a los mismos. Si desea modificar esta configuración, presione la tecla F5
para abrir la Configuración avanzada y expanda Motor de detección > Protección del sistema de archivos en tiempo
real. Haga clic en Parámetros de ThreatSense > Otros y seleccione o anule la selección de Habilitar la optimización
inteligente.
47
3.9.1.3.2 Niveles de desinfección
La protección en tiempo real tiene tres niveles de desinfección (para acceder a las configuraciones de los niveles de
desinfección, haga clic en Configuración de los parámetros del motor ThreatSense en la sección Protección del
sistema de archivos en tiempo real y luego haga clic en Desinfección).
Sin desinfección: los archivos infectados no se desinfectan automáticamente. El programa mostrará una ventana de
advertencia y le permitirá al usuario que seleccione una acción. Este nivel está diseñado para los usuarios más
avanzados que conocen los pasos a seguir en caso de detectar una infiltración.
Desinfección normal: el programa intentará desinfectar o eliminar el archivo infectado automáticamente basándose
en una acción predefinida (dependiendo del tipo de infiltración). La detección y eliminación de un archivo infectado
se marca con una notificación en la esquina inferior derecha de la pantalla. Si no es posible seleccionar la acción
correcta en forma automática, el programa ofrece otras acciones que se pueden realizar. Ocurre lo mismo cuando no
es posible completar una acción predefinida.
Desinfección estricta: el programa desinfectará o eliminará todos los archivos infectados. Las únicas excepciones
son los archivos del sistema. Si no es posible desinfectarlos, el programa le ofrecerá una acción al usuario en una
ventana de advertencia.
ADVERTENCIA
Si un archivo comprimido contiene un archivo o varios archivos infectados, existen dos opciones para tratarlo. En
el modo estándar (Desinfección estándar), se eliminará el archivo comprimido completo cuando todos los
archivos que incluya estén infectados. En el modo de Desinfección estricta, el archivo comprimido se eliminará si
al menos contiene un archivo infectado, sin importar el estado de los demás archivos que lo componen.
48
3.9.1.3.5 Qué hacer si la protección en tiempo real no funciona
En esta sección, se describirán problemas que se pueden presentar al utilizar la protección en tiempo real y se
indicará cómo resolverlas.
Explore el equipo
La exploración inteligente permite iniciar rápidamente una exploración del equipo y desinfectar los archivos
infectados sin necesidad de la intervención del usuario. La ventaja de la Exploración inteligente es su facilidad de
uso y que no requiere una configuración detallada de la exploración. La exploración inteligente verifica todos los
archivos de las unidades locales y desinfecta o elimina en forma automática las infiltraciones detectadas. El nivel de
desinfección está establecido automáticamente en el valor predeterminado. Para obtener información más
detallada sobre los tipos de desinfección, consulte Desinfección.
Exploración personalizada
La exploración personalizada es una solución ideal si desea especificar los parámetros de exploración, tales como
los objetos para explorar y los métodos de exploración. La ventaja de la exploración personalizada es la capacidad
de configurar los parámetros detalladamente. Es posible guardar las configuraciones en perfiles de exploración
49
definidos por el usuario, lo que resulta útil si la exploración se efectúa reiteradamente con el uso de los mismos
parámetros.
Para elegir los objetos para explorar, seleccione Exploración del equipo > Exploración personalizada y seleccione
una opción en el menú desplegable Objetos para explorar o seleccione objetos específicos desde la estructura con
forma de árbol. El objeto para explorar también puede definirse mediante el ingreso de la ruta de las carpetas o
archivos que desea incluir. Si solo le interesa explorar el sistema sin realizar acciones adicionales de desinfección,
seleccione Explorar sin desinfectar. Al realizar una exploración, puede elegir tres niveles de desinfección mediante
un clic en Configuración... > Parámetros ThreatSense > Desinfección.
La opción de realizar exploraciones del equipo mediante la Exploración personalizada es apropiada para usuarios
avanzados con experiencia previa en la utilización de programas antivirus.
También puede utilizar la función Arrastrar y soltar para explorar para explorar un archivo o una carpeta
manualmente haciendo clic en el archivo o la carpeta, moviendo el puntero del mouse hacia el área marcada al
mismo tiempo que mantiene el botón pulsado, y luego lo suelta. Después de eso, la aplicación se mueve al primer
plano.
50
Los elementos infectados no se desinfectan automáticamente. Puede usar la exploración sin desinfección cuando
desee obtener una visión general del estado actual de la protección. Además, puede elegir entre tres niveles de
desinfección al hacer clic en Configuración avanzada > Motor de detección > Exploración bajo demanda > Parámetros
deThreatSense > Desinfección. Si solo le interesa explorar el sistema sin realizar acciones adicionales de
desinfección, seleccione Explorar sin desinfectar. El historial de exploraciones se guarda en el registro de
exploraciones.
Cuando se encuentra seleccionado Ignorar exclusiones, los archivos con extensiones que solían ser excluidas de la
exploración serán analizadas sin excepción.
En el menú desplegable Perfil de exploración, puede elegir un perfil que podrá usar con los objetos para explorar
seleccionados. El perfil predeterminado es Exploración inteligente. Hay otros dos perfiles de exploración
predefinidos denominados Exploración profunda y Exploración del menú contextual. Estos perfiles de exploración
usan diferentes parámetros deThreatSense. Las opciones disponibles se describen en Configuración avanzada >
Motor de detección > Exploraciones de malware > Exploración bajo demanda > Parámetros deThreatSense.
Haga clic en Explorar para ejecutar la exploración con los parámetros personalizados establecidos.
Explorar como administrador permite ejecutar la exploración desde una cuenta de administrador. Haga clic en esta
opción si el usuario actual no tiene los privilegios necesarios para acceder a los archivos apropiados que se van a
explorar. Tenga en cuenta que este botón no está disponible si el usuario actual no puede realizar operaciones UAC
como administrador.
NOTA
Para ver el registro de exploración del equipo cuando finaliza una exploración, haga clic en Mostrar registro.
51
3.9.1.4.2 Progreso de la exploración
La ventana de progreso de la exploración muestra el estado actual de la exploración junto con información sobre la
cantidad detectada de archivos con códigos maliciosos.
NOTA
Es común que algunos archivos, como los archivos protegidos por contraseña o los que usa el sistema de manera
exclusiva (habitualmente, archivos pagefile.sys y ciertos archivos de registro), no se puedan explorar.
52
3.9.1.4.3 Registro de exploración del equipo
El registro de exploración del equipo le brinda información general de la exploración, como:
· Versión del motor de detección:
· Fecha y hora de la exploración
· Discos, carpetas y archivos explorados
· Cantidad de objetos explorados
· Cantidad de amenazas detectadas
· Hora de finalización
· Tiempo total de exploración
53
Las opciones de configuración del control del dispositivo se pueden modificar en Configuración avanzada (F5) >
Control del dispositivo.
Al encender el interruptor ubicado junto a Integrar al sistema, se activa la característica de Control del dispositivo en
ESET Endpoint Security; necesitará reiniciar su equipo para que se aplique este cambio. Una vez que se habilita el
Control del dispositivo, se activarán las Reglas, lo cual le permite abrir la ventana Editor de reglas.
Si se inserta un dispositivo bloqueado por una regla existente, se visualizará una ventana de notificación y no se
otorgará el acceso al dispositivo.
Los dispositivos específicos pueden ser permitidos o bloqueados para el usuario, el grupo de usuarios, o cualquiera
de los varios parámetros adicionales que se pueden especificar en la configuración de reglas. La lista de reglas
contiene varias descripciones de una regla como nombre, tipo de dispositivo externo, acción a realizar después de
conectar un dispositivo externo en su equipo y la severidad del registro.
Haga clic en Agregar o Editar para administrar una regla. Anule la selección de la casilla de verificación Habilitada
que se encuentra junto a una regla para deshabilitarla hasta que desee usarla en el futuro. Seleccione una o más
reglas, y haga clic en Eliminar para eliminar las reglas de forma permanente.
Copiar – crea una regla nueva con opciones predefinidas utilizadas para otra regla seleccionada.
Haga clic en Llenar para completar automáticamente los parámetros de los dispositivos de medios extraíbles
conectados al equipo.
Las reglas se incluyen en la lista por orden de prioridad, con las reglas de prioridad más alta más cerca de la parte
superior. Las reglas se pueden mover al hacer clic en Superior/Arriba/Abajo/Inferior, y se
pueden mover individualmente o en grupos.
El Registro del control de dispositivos registra todas las instancias en las que se activa el Control de dispositivos. Las
entradas de registro se pueden ver desde la ventana principal del programa de ESET Endpoint Security en
Herramientas > Archivos de registro.
54
3.9.1.5.2 Agregado de reglas del control del dispositivo
Una regla de control del dispositivo define la acción que se tomará cuando un dispositivo, que cumple con los
criterios de las reglas, se conecte al equipo.
Ingrese una descripción de la regla en el campo Nombre para tener una mejor identificación. Haga clic en el
interruptor junto a Regla habilitada para deshabilitar o habilitar esta regla; esto puede ser útil si no desea eliminar
la regla permanentemente.
Aplicar durante – le permite aplicar la regla creada durante el tiempo especificado. En el menú desplegable,
seleccione el intervalo de tiempo creado. Para obtener más información, haga clic aquí.
Tipo de dispositivo
Elija el tipo de dispositivo externo desde el menú desplegable (Almacenamiento en disco/Dispositivo
portátil/Bluetooth/FireWire/...). La información sobre los tipos de dispositivos se recopila del sistema operativo y
se puede ver en el administrador de dispositivos del sistema siempre y cuando un dispositivo esté conectado al
equipo. Los dispositivos de almacenamiento incluyen los discos externos o los lectores de tarjetas de memoria
convencionales conectados por medio de USB o FireWire. Los lectores de tarjetas inteligentes incluyen todos los
lectores de tarjetas inteligentes con un circuito integrado, tal como las tarjetas SIM o las tarjetas de autenticación.
Los ejemplos de dispositivos de imágenes son los módulos de exploración o cámaras. Debido a que estos
dispositivos solo proporcionan información acerca de sus acciones y no proporcionan información acerca de los
usuarios, solo se pueden bloquear en forma global.
NOTA
la funcionalidad de la lista del usuario no está disponible para el tipo de dispositivo módem. La regla se aplicará
para todos los usuarios y se eliminará la lista actual del usuario.
Acción
El acceso a los dispositivos que no son de almacenamiento se puede permitir o bloquear. Por el contrario, las reglas
para los dispositivos de almacenamiento le permiten seleccionar una de las siguientes configuraciones de derechos:
· Lectura/escritura – se permitirá el acceso total al dispositivo.
· Bloquear – se bloqueará el acceso al dispositivo.
· Solo lectura – solo se permitirá el acceso de lectura al dispositivo.
55
· Advertir – siempre que se conecte un dispositivo, se le notificará al usuario si está permitido/bloqueado, y se
generará una entrada de registro. Los dispositivos no se recuerdan, pero aún se mostrará una notificación en las
conexiones posteriores del mismo dispositivo.
Tenga en cuenta que no todas las Acciones (permisos) están disponibles para todos los tipos de dispositivos. Si es
un tipo de dispositivo de almacenamiento, las cuatro Acciones estarán disponibles. Para los dispositivos de no
almacenamiento, solo hay tres Acciones disponibles (por ejemplo, Solo lectura no está disponible para Bluetooth,
por lo que los dispositivos Bluetooth solo se pueden permitir, bloquear o advertir).
SUGERENCIA
Para ver información sobre un dispositivo, cree una regla para ese tipo de dispositivo, conecte el dispositivo a su
equipo, y luego verifique los detalles del dispositivo en el Registro del control de dispositivos.
Severidad de registro
· Siempre– registra todos los eventos.
· Diagnóstico – registra la información necesaria para ajustar el programa.
· Información – registra los mensajes de información, incluidos los mensajes de actualizaciones correctas, y todos
los historiales antes mencionados.
· Advertencia – registra los errores críticos y los mensajes de advertencia, y los envía a ERA Server.
· Ninguno – no se realizará registro alguno.
Las reglas se pueden limitar a ciertos usuarios o grupos de usuarios al agregarlos a la Lista de usuarios:
· Agregar – abre los Tipos de objetos: usuarios o grupos que permite seleccionar los usuarios deseados.
· Quitar – quita el usuario seleccionado del filtro.
NOTA
No todos los dispositivos se pueden filtrar por reglas del usuario, (por ejemplo: los dispositivos de imagen no
proporcionan información sobre usuarios, únicamente sobre acciones).
56
3.9.1.6 Medios extraíbles
ESET Endpoint Security proporciona la exploración automática de los medios extraíbles (CD/DVD/USB/...). Este
módulo le permite explorar un medio insertado. Resulta útil si el administrador del equipo desea prevenir que los
usuarios utilicen medios extraíbles con contenido no solicitado.
Acción para realizar tras insertar un medio – Seleccione la acción predeterminada que se realizará cuando se inserte
un medio extraíble en el equipo (CD/DVD/USB). Si se selecciona Mostrar las opciones de exploración, se mostrará
una notificación que le permite elegir una acción deseada:
· No explorar – no se realizará ninguna acción y se cerrará la ventana Se detectó un nuevo dispositivo.
· Exploración automática del dispositivo – se llevará a cabo una exploración del equipo a pedido en los dispositivos
de medios extraíbles insertados.
· Mostrar las opciones de exploración – abre la sección de configuración de medios extraíbles.
Haga clic en Configuración de los parámetros del motor ThreatSense para modificar los parámetros de exploración
(por ejemplo, los métodos de detección) para el explorador en estado inactivo.
57
3.9.1.8 Sistema de prevención de intrusiones basado en el host (HIPS)
ADVERTENCIA
las modificaciones de la configuración del HIPS deben realizarse únicamente por un usuario experimentado. La
configuración incorrecta de HIPS puede llevar a la inestabilidad del sistema.
El Sistema de prevención de intrusiones basado en el host (HIPS) protege su sistema contra malware y actividades
no deseadas que intentan perjudicar el equipo. El sistema HIPS utiliza el análisis avanzado de conducta combinado
con las capacidades de detección del filtrado de red para monitorear los procesos activos, los archivos y las claves de
registro. El HIPS es independiente de la protección del sistema de archivos en tiempo real y no es un firewall; solo
monitorea los procesos activos en el sistema operativo.
La configuración de HIPS se puede encontrar en Configuración avanzada (F5) > Antivirus > HIPS > Básico. El estado de
HIPS (habilitado/deshabilitado) se muestra en la ventana principal del programa de ESET Endpoint Security, en
Configuración > Equipo.
ESET Endpoint Security utiliza la tecnología incorporada de autodefensa como parte de HIPS para evitar que el
software malicioso corrompa o deshabilite su protección antivirus y antispyware. La autodefensa protege al sistema
crucial y los procesos de ESET, las claves de registro y los archivos de ser manipulados.
La Exploración de memoria avanzada trabaja en conjunto con el Bloqueador de exploits para fortalecer la protección
contra el malware diseñado para evadir la detección por los productos antimalware con el uso de ofuscación o
cifrado. La exploración de memoria avanzada está habilitada en forma predeterminada. Obtenga más información
sobre este tipo de protección en el glosario.
Bloqueador de exploits está diseñado para fortalecer diferentes tipos de aplicaciones comúnmente explotadas
como los navegadores web, los lectores de PDF, los clientes de correo electrónico y los componentes de MS Office.
El bloqueador de exploits está habilitado en forma predeterminada. Obtenga más información sobre este tipo de
protección en el glosario.
La protección de ransomware es otra capa de protección que funciona como parte de la función HIPS. Debe tener
habilitado el sistema de reputación de LiveGrid® para que funcione la protección de ransomware. Lea más
información sobre este tipo de protección aquí.
58
El filtrado se puede realizar en uno de los siguientes cuatro modos:
Modo automático – las operaciones están habilitadas, excepto las que se encuentran bloqueadas por las reglas
predefinidas que protegen su sistema.
Modo inteligente – se notificará al usuario solo en caso de eventos muy sospechosos.
Modo interactivo – el programa le solicitará al usuario que confirme las operaciones.
Modo basado en políticas – las operaciones están bloqueadas.
Modo de aprendizaje – las operaciones están habilitadas y se crea una regla luego de cada operación. Las reglas
creadas en este modo se pueden ver en el Editor de reglas, pero su prioridad es inferior a la de las reglas creadas
manualmente o creadas en el modo automático. Cuando selecciona el Modo de aprendizaje en el menú
desplegable del modo de filtrado de HIPS, la configuración El modo de aprendizaje finalizará cuando estará
disponible. Seleccione el tiempo durante el que desea activar el modo de aprendizaje; el tiempo máximo es de 14
días. Cuando el tiempo especificado haya pasado, se le solicitará que edite las reglas creadas por HIPS mientras
estuvo en el modo de aprendizaje. También puede elegir un modo de filtrado diferente, o posponer la decisión y
continuar utilizando el modo de aprendizaje.
Modo configurado después del vencimiento del modo de aprendizaje – defina a qué modo de filtrado se ESET
Endpoint Security restablecerá el firewall una vez finalizado el período para el modo de aprendizaje.
El sistema HIPS monitorea los sucesos dentro del sistema operativo y reacciona consecuentemente en función de
reglas similares a las utilizadas por el firewall. Haga clic en Editar para abrir la ventana de administración de reglas
de HIPS. Allí podrá seleccionar, crear, editar o eliminar reglas.
En el siguiente ejemplo, mostraremos cómo restringir las conductas no deseadas de las aplicaciones:
59
1. Póngale un nombre a la regla y seleccione Bloquear del menú desplegable Acción.
2. En la sección Operaciones que afectan, seleccione al menos una operación para la regla.
3. Seleccione la Severidad de registro del menú desplegable. Remote Administrator puede recopilar los registros
con el nivel de detalle de Advertencia.
4. Seleccione la barra deslizante junto a Notificar al usuario para mostrar una notificación cada vez que se aplique
una regla. Haga clic en Siguiente.
5. En la ventana Aplicaciones de origen, seleccione Todas las aplicaciones en el menú desplegable para aplicar la
nueva regla a todas las aplicaciones que intenten llevar a cabo alguna de las operaciones seleccionadas. Haga clic
en Siguiente.
6. En la siguiente ventana, seleccione la barra deslizante junto a Modificar el estado de otra aplicación y haga clic
en Siguiente (todas las operaciones se describen en la ayuda del producto, a la que se puede acceder
presionando la tecla F1).
7. Seleccione Aplicaciones específicas en el menú desplegable y haga clic en Agregar la aplicación o las aplicaciones
que desee bloquear.
8. Haga clic en Finalizar para guardar la regla nueva.
60
Consulte nuestro Artículo de la base de conocimiento de ESET para obtener una versión actualizada de esta página
de ayuda.
La ventana de diálogo le permite crear una regla en función de cualquier acción nueva que el HIPS detecte para,
posteriormente, definir las condiciones mediante las cuales se permitirá o denegará dicha acción. Se puede acceder
a las configuraciones para los parámetros exactos al hacer clic en Más información. Las reglas creadas de esta forma
se consideran equivalentes a las creadas manualmente. En consecuencia, la regla creada desde una ventana de
diálogo puede ser menos específica que la que activa la ventana de diálogo. Esto significa que, después de crear
dicha regla, la misma operación puede activar la misma ventana.
Recordar la acción temporalmente para este proceso hace que la acción (Permitir/Denegar) se utilice hasta que haya
un cambio de reglas o de modo de filtrado, una actualización de módulo del HIPS o un reinicio del sistema. Las
reglas temporales se eliminarán después de cualquiera de estas tres acciones.
La ventana de diálogo le permite enviar el archivo para su análisis o excluirlo de la detección. Haga clic en Detalles
para ver los parámetros de detección específicos.
IMPORTANTE
Para que la protección contra Ransomware funcione correctamente, ESET Live Grid debe estar habilitado.
61
3.9.1.9 Modo de presentación
El modo de presentación es una característica para los usuarios que requieren utilizar el software en forma
ininterrumpida, que no desean que las ventanas emergentes los molesten y que quieren minimizar el uso de la
CPU. El modo de presentación también se puede utilizar durante las presentaciones que la actividad del programa
antivirus no puede interrumpir. Cuando está habilitado, todas las ventanas emergentes se deshabilitan y las tareas
programadas no se ejecutan. La protección del sistema seguirá ejecutándose en segundo plano, pero no requerirá
ninguna interacción por parte del usuario.
Haga clic en Configuración > Equipo y luego en el interruptor junto al Modo de presentación para habilitar el modo
de presentación en forma manual. En Configuración avanzada (F5), haga clic en Herramientas > Modo de
presentación y, luego, haga clic en el interruptor junto a Habilitar el modo de presentación automáticamente al
ejecutar aplicaciones en modo de pantalla completa para que ESET Endpoint Security active en forma automática el
modo de presentación cuando se ejecutan las aplicaciones de pantalla completa. Habilitar el modo de presentación
constituye un riesgo potencial para la seguridad; por ese motivo, el ícono de estado de protección ubicado en la
barra de tareas se pondrá naranja y mostrará una advertencia. Esta advertencia también aparecerá en la ventana
principal del programa, donde el Modo de presentación habilitado aparecerá en naranja.
Cuando Habilitar el modo de presentación automáticamente al ejecutar aplicaciones de pantalla completa está
activo, el modo de presentación se iniciará siempre que abra una aplicación de pantalla completa y se detendrá
automáticamente después de que salga de la aplicación. Es útil, en especial, para iniciar el modo de presentación
inmediatamente luego de empezar un juego, abrir una aplicación de pantalla completa o iniciar una presentación.
También puede seleccionar Deshabilitar el modo de presentación automáticamente después de para definir la
cantidad de tiempo en minutos después de la que el modo de presentación se deshabilitará automáticamente.
NOTA
Si el Firewall está en el modo interactivo y el modo de presentación se encuentra habilitado, quizá surjan
inconvenientes para conectarse a Internet. Esto puede ocasionar problemas si comienza un juego que se conecta
a Internet. Bajo circunstancias normales, el programa le solicitaría que confirme dicha acción (si no se definió
ninguna regla o excepción para la comunicación); pero en el modo de presentación, la interacción del usuario
está deshabilitada. La solución es definir una regla de comunicación para cada aplicación que pueda entrar en
conflicto con esta conducta o usar un Modo de filtrado diferente en el Firewall. Recuerde que si el modo de
presentación está habilitado, al intentar abrir una página o aplicación que constituya un riesgo para la seguridad,
es posible que se bloquee, pero no aparecerá explicación o advertencia alguna, ya que la interacción con el
usuario está deshabilitada.
62
3.9.1.10.1 Verificación de archivos de inicio automático
Al crear una tarea programada de verificación de archivos de inicio del sistema, tiene varias opciones para ajustar los
siguientes parámetros:
El menú desplegable Escanear objetivo especifica la profundidad de la exploración para los archivos que se ejecutan
al inicio del sistema en base a un algoritmo sofisticado secreto. Los archivos se organizan en orden descendente de
acuerdo con los siguientes criterios:
· Todos los archivos registrado (la mayoría de los archivos escaneados)
· Archivos poco usados
· Archivos usados habitualmente
· Archivos de uso frecuente
· Solo los archivos más frecuentemente utilizados (los archivos menos explorados)
También se incluyen dos grupos específicos:
· Archivos que se ejecutan antes del registro del usuario: contiene archivos de las ubicaciones a las que puede
accederse sin que el usuario se registre (incluye casi todas las ubicaciones de inicio tales como servicios, objetos
del ayudante de exploración, winlogon notify, entradas de las tareas programadas de ventanas, dll conocidos,
etc.).
· Archivos que se ejecutan después del registro del usuario - Contiene archivos de las ubicaciones a las que
puede accederse solo después de que un usuario se registre (incluye archivos que solo se ejecutan para un
usuario específico, por lo general archivos en
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run).
Las listas de archivos a escanear son fijas para cada grupo antes mencionado.
Prioridad de exploración: el nivel de prioridad usado para determinar cuándo se iniciará una exploración:
· Cuando está inactivo - La tarea se realizará solo cuando el sistema esté inactivo,
· Más baja: cuando la carga del sistema es lo más baja posible,
· Inferior: en una carga baja del sistema,
· Normal – En una carga del sistema promedio.
3.9.1.12 Exclusiones
Las exclusiones le permiten excluir archivos y carpetas de la exploración. Para asegurarse de que todos los objetos
se exploren en busca de amenazas, recomendamos únicamente crear exclusiones cuando sea absolutamente
necesario. Las situaciones donde es posible que necesite excluir un objeto pueden incluir la exploración de las
entradas de una base de datos grande que podría reducir la velocidad de su equipo durante una exploración o
software que entra en conflicto con la exploración (por ejemplo, un programa de creación de copias de seguridad).
Para excluir un objeto de la exploración:
1. Haga clic en Agregar,
2. Ingrese la ruta a un objeto o selecciónelo en la estructura con forma de árbol.
63
Puede usar caracteres globales para abarcar un grupo de archivos. Un signo de interrogación (?) representa un
carácter único variable, mientras que un asterisco (*) representa una cadena variable de cero o más caracteres.
Ejemplos
· Si desea excluir todos los archivos en una carpeta, escriba la ruta a la carpeta y use la máscara “*.*”.
· Para excluir un disco completo incluyendo todos los archivos y subcarpetas, use la máscara “D:\*”.
· Si solo desea excluir archivos doc, use la máscara “*.doc”.
· Si el nombre del archivo ejecutable tiene un número determinado de caracteres (que varían) y solo conoce el
primero en forma segura (por ejemplo, “D”), use el siguiente formato: “D????.exe”. Los símbolos de interrogación
reemplazan a los caracteres faltantes (desconocidos).
NOTA
Una amenaza dentro de un archivo no se detectará por el módulo de protección del sistema de archivos en
tiempo real o módulo de exploración del equipo si dicho archivo cumple con los criterios para la exclusión de la
exploración.
Columnas
Ruta – ruta a los archivos y las carpetas excluidos.
Amenaza – si se muestra el nombre de una amenaza junto a un archivo excluido, significa que el archivo solo se
excluirá de la exploración en lo que respecta a dicha amenaza. Si dicho archivo más tarde se infecta con otro
código malicioso, el módulo antivirus lo detectará. Este tipo de exclusión puede usarse solamente para ciertos
tipos de infiltraciones, y puede crearse ya sea en la ventana de alerta de amenazas que informa sobre la
infiltración (haga clic en Mostrar opciones avanzadas y, luego, seleccione Excluir de la detección) o en
Herramientas > Cuarentena, mediante la opción del menú contextual Restaurar y excluir de la detección que
aparece al hacer un clic derecho en el archivo puesto en cuarentena.
Elementos de control
Agregar – excluye objetos de la detección.
Editar – le permite editar las entradas seleccionadas.
Quitar – quita las entradas seleccionadas.
64
3.9.1.13 ThreatSense parámetros
ThreatSense es una tecnología conformada por muchos métodos complejos de detección de amenazas. Esta
tecnología es proactiva, lo que significa que también brinda protección durante las primeras horas de propagación
de una nueva amenaza. Utiliza una combinación de la exploración del código, la emulación del código, las firmas
genéricas y las firmas de virus que funcionan conjuntamente para mejorar en forma significativa la seguridad del
sistema. El motor de exploración cuenta con la capacidad de controlar varios flujos de datos simultáneamente, lo
que maximiza la eficiencia y la tasa de detección. La tecnología ThreatSense también elimina con éxito los rootkits.
Las opciones de configuración del motor ThreatSense permiten especificar varios parámetros de exploración:
· Los tipos de archivos y las extensiones que se van a explorar,
· La combinación de diversos métodos de detección,
· Los niveles de desinfección, etc.
Para ingresar a la ventana de configuración, haga clic en Configuración de los parámetros del motor ThreatSense,
ubicado en la ventana de Configuración avanzada de cualquier módulo que utilice la tecnología ThreatSense (ver
abajo). Diferentes escenarios de seguridad pueden requerir distintas configuraciones. Por ese motivo, ThreatSense
puede configurarse en forma individual para cada uno de los siguientes módulos de protección:
· Protección del sistema de archivos en tiempo real,
· Exploración en estado inactivo,
· Exploración en el inicio,
· Protección de documentos,
· Protección del cliente de correo electrónico,
· Protección del acceso a la Web,
· Exploración del equipo.
Los parámetros de ThreatSense están sumamente optimizados para cada módulo y su modificación puede afectar el
funcionamiento del sistema en forma significativa. Por ejemplo, la modificación de los parámetros para que
siempre se exploren los empaquetadores de tiempo de ejecución, o la habilitación de la heurística avanzada en el
módulo de protección del sistema de archivos en tiempo real podrían ralentizar el sistema (normalmente, solo los
nuevos archivos creados se exploran con estos métodos). En consecuencia, es recomendable mantener los
parámetros predeterminados de ThreatSense sin modificaciones en todos los módulos excepto para la exploración
del equipo.
65
Opciones de exploración
Seleccione los métodos utilizados al explorar el sistema en busca de infiltraciones. Se encuentran disponibles las
siguientes opciones:
Heurística – la heurística es un algoritmo que analiza la actividad (maliciosa) de los programas. La ventaja principal
de esta tecnología radica en su capacidad de identificar software malicioso que antes no existía o que no era
reconocido por la versión anterior del motor de detección. La desventaja es la probabilidad (muy reducida) de
identificar falsos positivos.
Heurística avanzada/Firmas ADN – la heurística avanzada está compuesta por un algoritmo heurístico exclusivo,
desarrollado por ESET, optimizado para detectar gusanos informáticos y troyanos que fueron creados con
lenguajes de programación de última generación. El uso de la heurística avanzada incrementa significativamente
la capacidad de detección de amenazas de los productos de ESET. Las firmas tienen la capacidad de detectar e
identificar los virus en forma confiable. Mediante el uso del sistema de actualizaciones automáticas, las nuevas
firmas están disponibles en el transcurso de unas pocas horas tras el descubrimiento de una amenaza. La
desventaja de las firmas es que solo detectan los virus que ya conocen (o las versiones ligeramente modificadas
de estos virus).
Una aplicación potencialmente no deseada es un programa que contiene adware, instala barras de herramientas o
tiene otros objetivos que no son claros. Hay algunas situaciones en las que el usuario puede sentir que los
beneficios de una aplicación potencialmente no deseada superan los riesgos. Por este motivo, ESET les asigna a
dichas aplicaciones una categoría de bajo riesgo en comparación con otros tipos de software malicioso, como
troyanos o gusanos.
Cuando se detecte una aplicación potencialmente no deseada y no se pueda desinfectar, se mostrará la ventana de
notificación La dirección ha sido bloqueada en la esquina inferior derecha de la pantalla. Para obtener más
información acerca de este evento, vaya a Herramientas > Archivos de registro > Sitios web filtrados en el menú
principal.
66
Aplicaciones potencialmente no deseadas: configuración
Mientras instala su producto ESET, puede decidir si habilitar la detección de aplicaciones potencialmente no
deseadas como se muestra a continuación:
ADVERTENCIA
Las aplicaciones potencialmente no deseadas pueden instalar adware, barras de herramientas, o contener otras
funciones del programa no deseadas e inseguras.
Esta configuración se puede modificar en la configuración de su programa en cualquier momento. Para habilitar o
deshabilitar la detección de aplicaciones potencialmente no deseadas, inseguras o sospechosas, siga estas
instrucciones:
1. Abra su producto ESET. ¿Cómo abro mi producto ESET?
2. Presione la tecla F5 para acceder a la Configuración avanzada.
3. Haga clic en Antivirus, y habilite o deshabilite las opciones Habilitar la detección de aplicaciones potencialmente
no deseadas, Habilitar la detección de aplicaciones potencialmente no seguras y Habilitar la detección de
aplicaciones sospechosas de acuerdo a sus preferencias. Confirme mediante un clic en Aceptar.
67
Aplicaciones potencialmente no deseadas: contenedores del software
Un contenedor de software es un tipo especial de modificación de aplicaciones utilizado por algunos sitios web de
hosting de archivos. Es una herramienta de terceros que instala el programa que deseaba descargar, pero agrega
software adicional, como barras de herramientas o adware. El software adicional también puede realizar cambios en
la configuración de búsqueda y en la página de inicio de su navegador web. Además, los sitios web de hosting de
archivos con frecuencia no notifican al proveedor del software o al destinatario de la descarga que se han realizado
modificaciones, y no permiten fácilmente la exclusión de las modificaciones. Por estos motivos, ESET clasifica los
contenedores de software como un tipo de aplicación potencialmente no deseada para permitirles a los usuarios
aceptar o rechazar la descarga.
Consulte el siguiente Artículo de la base de conocimiento de ESET para obtener una versión actualizada de esta
página de ayuda.
Para obtener más información, haga clic aquí.
Aplicaciones potencialmente no seguras – Aplicaciones potencialmente no seguras es la clasificación utilizada
para los programas comerciales y legítimos, como las herramientas de acceso remoto, las aplicaciones para
adivinar contraseñas y los registradores de pulsaciones (programas que registran cada tecla pulsada por el
usuario). La opción se encuentra deshabilitada en forma predeterminada.
Limpieza
La configuración de la desinfección determina el comportamiento del módulo de exploración durante la
desinfección de los archivos infectados. Existen 3 niveles de desinfección:
Sin desinfección: los archivos infectados no se desinfectan automáticamente. El programa mostrará una ventana de
advertencia y le permitirá al usuario que seleccione una acción. Este nivel está diseñado para los usuarios más
avanzados que conocen los pasos a seguir en caso de detectar una infiltración.
Desinfección normal: el programa intentará desinfectar o eliminar el archivo infectado automáticamente basándose
en una acción predefinida (dependiendo del tipo de infiltración). La detección y eliminación de un archivo infectado
se marca con una notificación en la esquina inferior derecha de la pantalla. Si no es posible seleccionar la acción
correcta en forma automática, el programa ofrece otras acciones que se pueden realizar. Ocurre lo mismo cuando no
es posible completar una acción predefinida.
Desinfección estricta: el programa desinfectará o eliminará todos los archivos infectados. Las únicas excepciones
68
son los archivos del sistema. Si no es posible desinfectarlos, el programa le ofrecerá una acción al usuario en una
ventana de advertencia.
ADVERTENCIA
Si un archivo comprimido contiene un archivo o varios archivos infectados, existen dos opciones para tratarlo. En
el modo estándar (Desinfección estándar), se eliminará el archivo comprimido completo cuando todos los
archivos que incluya estén infectados. En el modo de Desinfección estricta, el archivo comprimido se eliminará si
al menos contiene un archivo infectado, sin importar el estado de los demás archivos que lo componen.
Exclusiones
Una extensión es la parte delimitada por un punto en el nombre de un archivo. Una extensión define el tipo de
archivo y su contenido. Esta sección de la configuración de los parámetros de ThreatSense permite definir los
tipos de archivos que se van a explorar.
Otros
Cuando se configuran los valores de los parámetros del motor ThreatSense para una exploración del equipo a
pedido, las siguientes opciones en la sección Otros también están disponibles:
Explorar secuencias de datos alternativas (ADS) – las secuencias de datos alternativas usadas por el sistema de
archivos NTFS constituyen asociaciones de archivos y carpetas que son invisibles para las técnicas comunes de
exploración. Muchas infiltraciones intentan evitar la detección camuflándose como secuencias de datos
alternativas.
Realizar exploraciones en segundo plano con baja prioridad – cada secuencia de exploración consume una
cantidad determinada de recursos del sistema. Si se trabaja con programas cuyo consumo de recursos constituye
una carga importante para los recursos del sistema, es posible activar la exploración en segundo plano con baja
prioridad y reservar los recursos para las aplicaciones.
Registrar todos los objetos – si se selecciona esta opción, el archivo de registro mostrará todos los archivos
explorados, incluso los que no estén infectados. Por ejemplo, si se detecta una infiltración dentro de un archivo
comprimido, el registro también incluirá en la lista los archivos no infectados del archivo comprimido.
Habilitar la optimización inteligente – cuando la opción para habilitar la optimización inteligente está
seleccionada, se usa la configuración más favorable para garantizar el nivel de exploración más eficiente, al mismo
tiempo que mantiene la mayor velocidad de exploración. Los diversos módulos de protección realizan
exploraciones en forma inteligente; para ello emplean distintos métodos de exploración y los aplican a tipos de
archivos específicos. Si se deshabilita la optimización inteligente, solo se aplica la configuración definida por el
usuario en el núcleo ThreatSense de esos módulos específicos al efectuar una exploración.
Preservar el último acceso con su fecha y hora – seleccione esta opción para preservar la hora de acceso original a
los archivos explorados en vez de actualizarla (por ejemplo, para usarlos con sistemas que realizan copias de
seguridad de datos).
Límites
La sección Límites permite especificar el tamaño máximo de los objetos y los niveles de los archivos comprimidos
anidados que se explorarán:
69
Configuración de la exploración de archivos comprimidos
Nivel de anidado de archivos comprimidos – especifica la profundidad máxima de la exploración de archivos
comprimidos. Valor predeterminado: 10.
Tamaño máximo del archivo incluido en el archivo comprimido – esta opción permite especificar el tamaño
máximo de los archivos incluidos en archivos comprimidos (al extraerlos) que se explorarán. Valor
predeterminado: ilimitado.
NOTA
No se recomienda cambiar los valores predeterminados; en circunstancias normales, no existe ninguna razón
para modificarlos.
3.9.1.13.1 Exclusiones
Una extensión es la parte delimitada por un punto en el nombre de un archivo. Una extensión define el tipo de
archivo y su contenido. Esta sección de la configuración de los parámetros de ThreatSense permite definir los tipos
de archivos que se van a explorar.
En forma predeterminada, se exploran todos los archivos. Se puede agregar cualquier extensión a la lista de
archivos excluidos de la exploración.
A veces es necesario excluir ciertos tipos de archivos cuando su exploración impide el funcionamiento correcto del
programa que está usando ciertas extensiones. Por ejemplo, puede ser recomendable excluir las extensiones
.edb, .eml y .tmp al usar los servidores de Microsoft Exchange.
Mediante el uso de los botones Agregar y Quitar, puede permitir o prohibir la exploración de extensiones de
archivos específicas. Para agregar una nueva extensión a la lista, haga clic en Agregar, escriba la extensión en el
campo en blanco, y haga clic en Aceptar. Cuando selecciona Ingresar múltiples valores, puede agregar varias
extensiones de archivo delimitadas por líneas, comas, o punto y coma. Cuando se habilita la selección múltiple, las
extensiones se mostrarán en la lista. Seleccione una extensión de la lista y haga clic en Quitar para eliminar esa
extensión de la lista. Si desea editar una extensión seleccionada, haga clic en Editar.
El símbolo especial ? (signo de interrogación). los símbolo de interrogación representa cualquier símbolo.
NOTA
Para mostrar la extensión (tipo de archivo) de todos los archivos en un sistema operativo Windows, quite la
selección Ocultar las extensiones de los tipos de archivo conocidos en Panel de control > Opciones de carpeta >
Ver.
3.9.2 Red
El firewall controla todo el tráfico de red que sale del sistema y que ingresa a él. Para ello, permite o deniega las
conexiones de red individuales según sus reglas de filtrado. Brinda protección frente a ataques desde equipos
remotos y bloquea ciertos servicios potencialmente peligrosos. El firewall también proporciona la funcionalidad
IDS/IPS al inspeccionar el contenido del tráfico de redes permitidas y el tráfico de bloqueo que se considera
potencialmente dañino. ESET Endpoint Security le informará cuando se conecte a una red inalámbrica desprotegida
o a una red con protección débil.
La configuración del Firewall se puede encontrar en el panel de Configuración bajo Red. Aquí puede ajustar el modo
de filtrado para el Firewall de ESET. Para acceder a configuraciones más detalladas, haga clic en la rueda de
engranaje > Configurar junto a Firewall, o presione F5 para acceder a la Configuración avanzada.
Protección contra ataques en la red (IDS) – Analiza el contenido del tráfico de la red y protege de ataques en la red.
Todo tráfico considerado perjudicial será bloqueado. Puede deshabilitar la Protección contra ataques en la red
durante un periodo de tiempo específico al hacer clic en .
Protección contra Botnet – identifica de manera rápida y precisa el malware en el sistema. Para deshabilitar la
Protección contra Botnet durante un periodo de tiempo específico, haga clic en .
70
Redes conectadas – muestra las redes a las que están conectados los adaptadores de red. Después de hacer clic en la
rueda de engranaje, se le instará a que seleccione un tipo de protección para la red a la que está conectado
mediante su adaptador de red.
Adaptadores de red – se puede ver cada adaptador de red y su perfil de firewall asignado, y la zona de confianza.
Para obtener información más detallada, consulte Adaptadores de red.
Lista negra de direcciones IP temporales – ver una lista de direcciones IP que se han detectado como fuente de
ataques y, por tanto, se han agregado a la lista negra para bloquear conexiones por un cierto periodo de tiempo.
Para obtener más información, haga clic en esta opción y presione la tecla F1.
Asistente para la resolución de problemas – le ayuda a resolver los problemas de conectividad causados por el
firewall de ESET. Para obtener información más detallada, consulte el Asistente para la resolución de problemas.
Haga clic en la rueda de engranaje junto al Firewall para acceder a las siguientes configuraciones:
Configurar... – abre la ventana del Firewall en la Configuración avanzada, donde puedes definir cómo el firewall
manejará la comunicación de redes.
Bloquear todo el tráfico – todas las comunicaciones entrantes y salientes serán bloqueadas por el Firewall. Use esta
opción solo si sospecha que existe un riesgo crítico de seguridad que requiere desconectar el sistema de la red. Para
restablecer el firewall a su funcionamiento normal mientras el filtrado del tráfico de red está en modo Bloquear
todo el tráfico, haga clic en Detener el bloqueo de todo el tráfico .
Pausar firewall (permitir todo tráfico) – lo opuesto a bloquear todo el tráfico de red. Al seleccionarla, se desactivan
todas las opciones de filtrado del firewall y se permiten todas las conexiones entrantes y salientes. Para restablecer
el firewall mientras el filtrado del tráfico de red está en este modo, haga clic en Habilitar el firewall.
Modo automático – (cuando otro modo de filtrado está habilitado) – Haga clic para cambiar del modo de filtrado al
modo de filtrado automático (con reglas definidas por el usuario).
Modo interactivo – (cuando otro modo de filtrado está habilitado) – Haga clic para cambiar del modo de filtrado al
modo de filtrado interactivo.
71
3.9.2.1 Firewall
El firewall controla todo el tráfico de red que sale del sistema y que ingresa a él. Para ello, permite o deniega las
conexiones de red individuales según las reglas de filtrado especificadas. Proporciona protección contra ataques
desde equipos remotos y permite el bloqueo de algunos servicios. También proporciona protección antivirus para
protocolos HTTP, POP3 e IMAP. Esta funcionalidad constituye un elemento esencial para la seguridad del equipo.
Habilitar Protección contra ataques en la red (IDS) – Analiza el contenido del tráfico de la red y protege de ataques
en la red. Todo tráfico considerado perjudicial será bloqueado.
Habilitar protección contra Botnet – detecta y bloquea la comunicación con los servidores maliciosos de comando y
control según patrones típicos cuando el equipo está infectado y un bot está tratando de comunicarse.
Hay cuatro modos de filtrado disponibles para el Firewall de ESET Endpoint Security. Las configuraciones del modo
de filtrado se encuentran en Configuración avanzada (F5) al hacer clic en Firewall. La conducta del firewall cambia de
acuerdo con el modo de filtrado. Los modos de filtrado también influyen en el nivel requerido de interacción del
usuario.
El filtrado se puede realizar en uno de los siguientes cuatro modos:
Modo automático – es el modo predeterminado. Este modo resulta adecuado para los usuarios que prefieren un uso
sencillo y conveniente del firewall sin la necesidad de definir reglas. Se pueden crear reglas personalizadas y
definidas por el usuario, pero no se requieren en el modo automático. El modo automático permite todo el tráfico
saliente para el sistema determinado y bloquea la mayoría del tráfico entrante (a excepción de una cantidad de
tráfico de la Zona de confianza, como se lo permite en el sistema de detección de intrusiones y opciones
avanzadas/servicios permitidos y el tráfico entrante que responde a la comunicación saliente reciente al mismo
sitio remoto).
Modo interactivo – permite crear una configuración personalizada para el Firewall. Cuando se detecta una
comunicación y no existe ninguna regla que se aplique a ella, se mostrará una ventana de diálogo para informar
sobre la existencia de una conexión desconocida. La ventana de diálogo da la opción de permitir o denegar la
comunicación y dicha decisión puede guardarse como una nueva regla para el Firewall. Si elige crear una nueva
regla, todas las conexiones futuras de este tipo se permitirán o bloquearán de acuerdo con dicha regla.
Modo basado en políticas – bloquea todas las conexiones que no están definidas por una regla específica que las
permita. Este modo hace posible que los usuarios avanzados definan reglas para permitir solo las conexiones
deseadas y seguras. El Firewall bloqueará todas las demás conexiones que no estén especificadas.
Modo de aprendizaje – crea y guarda reglas en forma automática; este modo es apropiado para la configuración
inicial del Firewall. No se requiere la interacción del usuario porque ESET Endpoint Security guarda las reglas según
los parámetros predefinidos. El modo de aprendizaje no es seguro, por lo que solo debe usarse hasta que se hayan
creado todas las reglas para las comunicaciones requeridas.
Los Perfiles se pueden utilizar para personalizar la conducta del Firewall de ESET Endpoint Security al especificar
diferentes conjuntos de reglas en situaciones distintas.
72
Evaluar también las reglas del firewall de Windows – en el modo automático, permita el tráfico entrante permitido
por el Firewall de Windows a menos que haya sido bloqueado por las reglas del Firewall de ESET Endpoint Security.
Reglas – aquí puede agregar reglas y definir cómo el Firewall manejará el tráfico de red.
Zonas – aquí puede crear zonas que contengan varias direcciones IP.
Opciones avanzadas IDS – le permite configurar las opciones avanzadas de filtrado y la funcionalidad IDS (utilizada
para detectar varios tipos de ataques y exploits).
Excepciones de IDS – le permite agregar excepciones de IDS y personalizar las reacciones para las actividades
maliciosas.
73
Modo configurado después del vencimiento del modo de aprendizaje – defina a qué modo de filtrado se ESET
Endpoint Security restablecerá el firewall una vez finalizado el período para el modo de aprendizaje. Obtenga más
información sobre los Modos de filtrado.
Tipo de comunicación – seleccione los parámetros de creación de reglas específicas para cada tipo de comunicación.
Existen cuatro tipos de comunicación:
Tráfico entrante de una zona de confianza – un ejemplo de una conexión entrante dentro de la zona de confianza
es un equipo remoto de una zona de confianza que intenta establecer una comunicación con una aplicación activa
en el equipo local.
Tráfico saliente a una zona de confianza – una aplicación remota que intenta establecer una conexión con otro
equipo dentro de la red local o dentro de una red de la zona segura.
Tráfico de Internet entrante – un equipo remoto que intenta comunicarse con una aplicación ejecutada en el
equipo.
Tráfico de Internet saliente – una aplicación local que intenta establecer una conexión con otro equipo.
Cada sección le permite definir los parámetros que se agregarán a las reglas recién creadas:
Agregar puerto local – incluye el número del puerto local de la comunicación de red. Para comunicaciones salientes,
normalmente se generan números aleatorios. Por este motivo, es recomendable activar esta opción solo para las
comunicaciones entrantes.
Agregar aplicación – incluye el nombre de la aplicación local. Esta opción es útil para reglas futuras en el nivel de las
aplicaciones (reglas que definen la comunicación para una aplicación completa). Por ejemplo, puede activar la
comunicación solo para un navegador Web o para un cliente de correo electrónico.
Agregar puerto remoto – incluye el número del puerto remoto de la comunicación de red. Por ejemplo, puede
permitir o denegar un servicio específico asociado a un número de puerto estándar (HTTP – 80, POP3 – 110, etc.).
Agregar dirección IP remota/Zona de confianza – se puede utilizar una dirección IP o zona remota como parámetro
para la creación de nuevas reglas que definan todas las conexiones de red entre el sistema local y dicha dirección o
zona remota. Esta opción resulta útil cuando el usuario desea definir acciones para un equipo específico o un grupo
de equipos en red.
Cantidad máxima de reglas diferentes por cada aplicación – si una aplicación establece una comunicación a través de
diferentes puertos, con varias direcciones IP, etc., el firewall en modo de aprendizaje crea la cantidad de reglas
adecuada para dicha aplicación. Esta opción le permite limitar el número de reglas que se pueden crear para una
sola aplicación.
74
junto a Perfiles asignados a los adaptadores de red, seleccione el perfil en el menú desplegable Perfil de firewall
predeterminado y, luego, haga clic en Guardar.
Cuando el Firewall cambia a otro perfil, aparecerá una notificación en la esquina inferior derecha, junto al reloj del
sistema.
Elementos de control
Agregar – agrega un nuevo adaptador de red.
Editar – le permite editar un adaptador de red existente.
Eliminar – seleccione un adaptador de red y haga clic en Eliminar si desea eliminar un adaptador de red de la lista.
Aceptar/Cancelar –haga clic en Aceptar si desea guardar los cambios o en Cancelar para salir sin realizar cambios.
75
3.9.2.3.1 Reglas de firewall
Haga clic en Editar junto a Reglas en la sección de la pestaña Avanzado para visualizar la ventana Reglas de firewall,
donde se muestra la lista de todas las reglas. Agregar, Editar, y Eliminar le permiten agregar, configurar o eliminar
reglas. Puede ajustar el nivel de prioridad de una regla al seleccionar la(s) regla(s) y hacer clic en
Superior/Arriba/Abajo/Inferior.
SUGERENCIA
Haga clic en el ícono para buscar reglas por nombre, protocolo o puerto.
Columnas
Nombre – nombre de la regla.
Habilitada – muestra si la regla están habilitada o deshabilitada; la casilla de verificación correspondiente debe
estar seleccionada para activar una regla.
Protocolo – el protocolo para el que esta regla es válida.
Perfil – muestra el perfil de firewall para el que esta regla es válida.
Acción – muestra el estado de la comunicación (bloquear/permitir/preguntar).
Dirección – dirección de la comunicación (entrante/saliente/ambas).
Local – dirección IP y puerto del equipo local.
Remoto – dirección IP y puerto del equipo remoto.
Aplicaciones –la aplicación a la que se aplica la regla.
Elementos de control
Agregar – crea una regla nueva.
Editar – Edita una regla existente.
Eliminar – Elimina una regla existente.
Copiar - crea una copia de la regla seleccionada.
76
Mostrar reglas incorporadas (predefinidas) – reglas predefinidas por ESET Endpoint Security que permiten o
deniegan comunicaciones específicas. Puede deshabilitar estas reglas, pero no puede eliminar una regla
predefinida.
A continuación, encontrará un ejemplo en el que creamos una regla nueva para permitir que la aplicación del
navegador Web tenga acceso a la red. En este ejemplo, debe configurarse lo siguiente:
· En la ficha General, habilite la comunicación saliente a través de los protocolos TCP y UDP.
· Agregue su aplicación de navegador (para Internet Explorer es iexplore.exe) en la pestaña Local.
· En la pestaña Remoto, habilite el número de puerto 80 si desea permitir la navegación estándar de Internet.
NOTA
Tenga en cuenta que las reglas predefinidas se pueden modificar de forma limitada.
77
3.9.2.4 Zona de confianza
La zona de confianza representa un grupo de direcciones de red desde las que el Firewall permite cierto tráfico
entrante mediante el uso de configuraciones predeterminadas. La configuración de funciones tales como la
compartición de archivos y el escritorio remoto dentro de la zona de confianza está determinada en Opciones
avanzadas IDS.
La verdadera zona de confianza se calcula en forma dinámica y separada para cada adaptador de red en función de la
red a la que actualmente está conectada el equipo. Las direcciones que estén definidas como dentro de la zona de
confianza en el Editor de zonas siempre son de confianza. Si un adaptador de red está conectado a una red conocida,
entonces las Direcciones adicionales de confianza configuradas para esa red, se agregan a la zona de confianza del
adaptador. Si una red tiene el tipo de protección Hogar/trabajo, todas las subredes que se conecten directamente se
incluyen en la zona de confianza. La verdadera zona de confianza para cada adaptador de red se puede visualizar
desde la ventana Configuración en Red > Adaptadores de red.
NOTA
La zona de confianza por interfaz no es compatible con los sistemas operativos Windows XP. Para estos sistemas
operativos, todos los adaptadores tienen la misma zona de confianza, y esto también es visible en la página de
los Adaptadores de red.
78
Las redes conocidas se pueden configurar en forma manual en la ventana Editor de redes conocidas.
Columnas
Nombre – nombre de la red conocida.
Tipo de protección – Muestra si la red está establecida en Red pública, doméstica/red laboral o Usar configuración
de Windows.
Perfil de firewall – seleccione un perfil del menú desplegable Mostrar las reglas que se usan en el perfil para
mostrar el filtro de reglas del perfil.
Actualizar perfil – Le permite aplicar un perfil de actualización creado cuando se conecte a esta red.
Elementos de control
Agregar – Crea una nueva red conocida.
Editar – haga clic para editar una red conocida existente.
Eliminar – seleccione una red y haga clic en Eliminar para eliminarla de la lista de redes conocidas.
Red
Aquí podrá definir el Nombre de la red y seleccionar el Tipo de protección (Red pública, Red doméstica o de oficina
o Usar configuración de Windows) de la red. Use el menú desplegable Perfil de firewall para seleccionar el perfil
para esta red. Si la red utiliza el tipo de protección Hogar/oficina, todas las subredes conectadas directamente se
considerarán de confianza. Por ejemplo, si un adaptador de red está conectado a esta red con la dirección IP
192.168.1.5 y la máscara de subred 255.255.255.0, la subred 192.168.1.0/24 se agregará a la zona de confianza de dicho
adaptador. Si el adaptador tiene más direcciones o subredes, todas ellas serán de confianza, independientemente
de la configuración de la Identificación de la red conocida.
Además, las direcciones agregadas en las Direcciones de confianza adicionales siempre se agregan a la zona de
confianza de los adaptadores conectados a esta red (independientemente del tipo de protección de la red).
Se deben cumplir las siguientes condiciones para que una red se marque como conectada en la lista de redes
conectadas:
· Identificación de la red – todos los parámetros completados deben coincidir con los parámetros de conexión
activos.
· Autenticación de red – si se selecciona el servidor de autenticación, se debe llevar a cabo una autenticación
correcta con el Authentication Server de ESET.
· Restricciones de red (únicamente Windows XP) – se deben cumplir todas las restricciones globales seleccionadas.
Identificación de la red
La identificación de la red se realiza según los parámetros del adaptador de red local. Todos los parámetros
seleccionados se comparan con los parámetros reales de las conexiones de red activas. Se permiten las direcciones
IPv4 e IPv6.
79
Autenticación de red
La autenticación de red busca un servidor específico en la red y usa cifrado asimétrico (RSA) para autenticar dicho
servidor. El nombre de la red que se está autenticando debe coincidir con el nombre de zona establecido en las
configuraciones del servidor de autenticación. El nombre diferencia entre mayúsculas y minúsculas. Especifique un
nombre de servidor, un puerto de escucha del servidor y una clave pública que se corresponda con la clave del
servidor privado (consulte Autenticación de red: configuración del servidor). El nombre del servidor se puede
ingresar en forma de dirección IP, DNS o nombre NetBios, y se puede seguir por una ruta que especifique la
ubicación de la clave en el servidor (por ejemplo, server_name_/directory1/directory2/authentication). Puede
especificar servidores alternativos para usarlos al añadirlos a la ruta, separados por punto y coma.
Descargue ESET Authentication Server.
La clave pública se puede importar mediante alguno de los siguientes tipos de archivos:
· La clave pública cifrada PEM (.pem) se puede generar con el ESET Authentication Server (consulte la sección
Autenticación de red: configuración del servidor).
· Clave pública cifrada
· Certificado de clave pública (.crt)
80
Haga clic en Probar para probar su configuración. Si la autenticación es correcta, se mostrará Autenticación del
servidor correcta. Si la autenticación no está configurada correctamente, se mostrará uno de los siguientes mensajes
de error:
Falló la autenticación del servidor. Firma no válida o que no coincide.
La firma del servidor no coincide con la clave pública ingresada.
Falló la autenticación del servidor. El nombre de la red no coincide.
El nombre de la red configurada no corresponde al nombre de la zona del servidor de autenticación. Revise los dos
nombres y asegúrese de que sean iguales.
Falló la autenticación del servidor. No válido o sin respuesta desde el servidor.
No se recibe respuesta alguna si el servidor no está en funcionamiento o no se puede acceder al mismo. Se puede
recibir una respuesta no válida si otro servidor HTTP se ejecuta en la dirección especificada.
Se ingresó una clave pública no válida.
Verifique que el archivo de la clave pública que ha ingresado no esté dañado.
81
3.9.2.6.2 Autenticación de red: configuración del servidor
Cualquier equipo o servidor conectado a la red que se debe autenticar puede realizar el proceso de autenticación.
La aplicación ESET Authentication Server debe instalarse en un equipo o servidor que siempre tenga acceso para la
autenticación cuando un cliente intente conectarse a la red. El archivo de instalación para la aplicación ESET
Authentication Server está disponible en el sitio Web de ESET para su descarga.
Luego de instalar la aplicación ESET Authentication Server, aparecerá una ventana de diálogo (puede acceder a la
aplicación al hacer clic en Inicio > Programas > ESET > ESET Authentication Server).
Para configurar el servidor de autenticación, ingrese el nombre de la red de autenticación, el puerto de escucha del
servidor (el predeterminado es 80), así como la ubicación donde se debe almacenar el par de claves pública y
privada. Luego, genere la clave pública y la clave privada que se usarán en el proceso de autenticación. La clave
privada permanecerá en el servidor, mientras que la clave pública deberá importarse desde el lado del cliente en la
sección de autenticación de red cuando se configure una red en la configuración del firewall.
3.9.2.7 Registro
El firewall de ESET Endpoint Security guarda todos los sucesos importantes en un archivo de registro, que se puede
ver directamente desde el menú principal. Haga clic en Herramientas > Archivos de registro y luego seleccione
Firewall en el menú desplegable Registro. Para habilitar el registro del firewall, vaya a Configuración avanzada >
Herramientas > Archivos de registro y configure el nivel de detalle mínimo para los registros en Diagnóstico. Se
registrarán todas las conexiones denegadas.
Los archivos de registro se pueden utilizar para detectar errores y revelar intrusiones en su sistema. Los registros del
firewall de ESET contienen los siguientes datos:
· Hora : fecha y hora del suceso.
· Suceso: nombre del suceso.
· Origen – dirección de red de origen.
· Destino: dirección de red de destino.
· Protocolo: protocolo de comunicación de red.
· Nombre del gusano/regla: regla aplicada o nombre del gusano, si se ha identificado.
· Aplicación: aplicación implicada.
· Usuario: nombre del usuario registrado al momento en que se detectó la infiltración.
Un análisis minucioso de estos datos puede ayudar a detectar los intentos de comprometer la seguridad del
sistema. Existen muchos otros factores que indican riesgos de seguridad potenciales y permiten minimizar su
impacto: Algunos ejemplos de indicadores de amenazas potenciales incluyen las conexiones frecuentes desde
ubicaciones desconocidas, intentos reiterados de establecer conexiones y comunicaciones de aplicaciones
desconocidas o el uso de números de puerto inusuales.
82
Sea precavido cuando crea reglas nuevas y solo permita las conexiones que usted reconoce como seguras. Si se
permiten todas las conexiones, el firewall deja de cumplir su propósito. Estos son los parámetros importantes para
las conexiones:
· Ubicación remota: solo permite las conexiones de direcciones de confianza y conocidas.
· Aplicación local: no es aconsejable permitir conexiones para aplicaciones y procesos desconocidos.
· Número de puerto: las comunicaciones en puertos comunes (por ejemplo, tráfico de Internet, número de puerto
80) deberían permitirse bajo circunstancias normales.
Para proliferar, las infiltraciones informáticas suelen usar Internet y conexiones ocultas, que las ayudan a infectar
sistemas remotos. Si las reglas están configuradas correctamente, el firewall se convierte en una herramienta útil
para la protección ante una diversidad de ataques de códigos maliciosos.
83
3.9.2.9.1 Asistente para la resolución de problemas
El asistente para la resolución de problemas monitorea silenciosamente todas las conexiones bloqueadas, y lo
guiará a través del proceso de resolución de problemas para corregir problemas del firewall con aplicaciones o
dispositivos específicos. Luego, el asistente sugerirá un nuevo conjunto de reglas para aplicar si las aprueba. El
Asistente para la resolución de problemas se puede encontrar en el menú principal bajo Configuración > Red.
84
3.9.2.9.4 Registro PCAP avanzado
Esta característica tiene como propósito brindar archivos de registro más complejos para el soporte al cliente de
ESET. Use esta característica solo cuando el soporte al cliente de ESET se lo solicite, ya que puede generar un archivo
de registro inmenso y, así, ralentizar su equipo.
1. Navegue a Configuración avanzada > Herramientas > Diagnósticos y habilite Habilitar el registro avanzado del
filtrado de protocolos.
2. Intente reproducir el problema que está experimentando.
3. Deshabilitar registro PCAP avanzado.
4. El archivo de registro PCAP se puede encontrar en el mismo directorio donde se generan los volcados de
memoria de diagnóstico:
· Microsoft Windows Vista o posterior
85
Error “Algunas de las aplicaciones aptas para importar el certificado raíz siguen activas”
Cuando habilita el filtrado de protocolos SSL, ESET Endpoint Security se asegura de que las aplicaciones instaladas
confían en la forma en que se filtra e protocolo SSL al importar un certificado a su almacén de certificados. Para
ciertas aplicaciones esto no es posible mientras están activas. Esto incluye a Firefox y Opera. Asegúrese de que
ninguna de ellas esté activa (la mejor manera de hacer esto es abrir el Administrador de tareas y asegurarse de que
firefox.exe u opera.exe no estén en la pestaña de Procesos), luego vuelva a intentarlo.
El módulo Control Web le permite ajustar las configuraciones que le proporcionan a los administradores
herramientas automatizadas para proteger sus estaciones de trabajo y establecer restricciones para la navegación
en Internet. El objetivo de la funcionalidad para el Control Web es evitar el acceso a las páginas con contenido
inapropiado o perjudicial. Consulte Control Web para obtener más información.
La conectividad de Internet es una característica estándar de los equipos personales. Lamentablemente, también se
convirtió en el medio principal para transferir códigos maliciosos. Por ese motivo, es esencial que considere con
mucho cuidado la Protección del acceso a la Web.
Protección del cliente de correo electrónico: proporciona el control de las comunicaciones por correo electrónico
recibidas a través de los protocolos POP3 e IMAP. Mediante el complemento del programa para su cliente de correo
electrónico, ESET Endpoint Security proporciona el control de todas las comunicaciones desde el cliente de correo
electrónico (POP3, IMAP, HTTP, MAPI).
86
La Protección antispam filtra los mensajes de correo electrónico no solicitado.
Al hacer clic en la rueda de engranaje junto a Protección antispam, las siguientes opciones están disponibles:
Configurar... – abre las configuraciones avanzadas para la protección antispam del cliente de correo electrónico.
Lista blanca/Lista negra/Lista de excepciones del usuario – abre una ventana de diálogo donde se pueden
agregar, editar o eliminar las direcciones de correo electrónico que se consideran seguras o inseguras. Según las
reglas que aquí se definen, el correo electrónico desde estas direcciones no se explorará ni se tratará como
spam. Haga clic en la Lista de excepciones del usuario para abrir una ventana de diálogo donde puede agregar,
editar o eliminar las direcciones de correo electrónico que pueden haberse alterado y utilizado para enviar
spam. Los mensajes de correo electrónico recibidos desde las direcciones enumeradas en la lista de
excepciones se explorarán siempre en busca de spam.
Protección antiphishing es otra capa de protección que brinda una mayor defensa frente a sitios Web ilegítimos que
intentan obtener contraseñas y demás información sensible. La protección antiphishing se puede encontrar en el
panel de Configuración bajo Internet y correo electrónico. Consulte Protección antiphishing para obtener más
información.
Deshabilitar – haga clic en el interruptor para deshacer la protección de Internet y del correo electrónico/antispam
para los exploradores Web y los clientes de correo electrónico .
Dada la enorme cantidad de códigos maliciosos que circulan por Internet, la navegación segura es un aspecto crucial
para la protección de los equipos. Las vulnerabilidades de los navegadores web y los vínculos fraudulentos sirven de
ayuda a este tipo de código para introducirse en el sistema de incógnito; por este motivo, ESET Endpoint Security se
centra en la seguridad de los navegadores web. Todas las aplicaciones que accedan a la red se pueden marcar como
navegadores de Internet. Las aplicaciones que ya utilizaron los protocolos para la comunicación o aplicación desde la
ruta seleccionada se pueden ingresar en la lista de clientes de Internet y correo electrónico.
87
3.9.3.1.2 Aplicaciones excluidas
Para excluir del filtrado de protocolos las comunicaciones de aplicaciones específicas con reconocimiento de redes,
agréguelas a la lista. La comunicación HTTP/POP3/IMAP de las aplicaciones seleccionadas no se verificará en busca
de amenazas. Recomendamos que solo use esta técnica en los casos en que las aplicaciones no funcionen
correctamente con el filtrado de protocolos habilitado.
Las aplicaciones y los servicios que ya fueron afectados por el filtrado de protocolos se mostrarán automáticamente
después de hacer clic en Agregar.
Editar – edite las entradas seleccionadas de la lista.
Quitar – elimine las entradas seleccionadas de la lista.
88
3.9.3.1.3 Direcciones IP excluidas
Las direcciones IP en esta lista se excluirán del filtrado de contenido del protocolo. La comunicación
HTTP/POP3/IMAP desde o hacia las aplicaciones seleccionadas no se verificará en busca de amenazas. Es
recomendable que únicamente use esta opción para direcciones confiables conocidas.
Agregar– haga clic para agregar una dirección IP, un rango de direcciones o una subred de un punto remoto, al que se
debe aplicar la regla.
Editar – edite las entradas seleccionadas de la lista.
Quitar – elimine las entradas seleccionadas de la lista.
3.9.3.1.4 SSL/TLS
ESET Endpoint Security tiene la capacidad de verificar las amenazas en las comunicaciones que usan el protocolo SSL.
Puede usar varios modos de exploración para examinar las comunicaciones protegidas por SSL mediante certificados
de confianza, certificados desconocidos o certificados excluidos de la verificación de las comunicaciones protegidas
por SSL.
Habilitar el filtrado del protocolo SSL/TLS – si se deshabilita el filtrado de protocolos, el programa no explorará las
comunicaciones con el protocolo SSL.
El modo de filtrado de protocolos SSL/TLS está disponible en las siguientes opciones:
Modo automático – seleccione esta opción para explorar todas las comunicaciones protegidas por SSL excepto las
protegidas por certificados excluidos de la verificación. Si se establece una nueva comunicación que use un
certificado firmado desconocido, no se notificará al usuario y se filtrará la comunicación en forma automática. Al
acceder a un servidor con un certificado no confiable que está marcado como de confianza (se encuentra en la lista
de certificados de confianza), se permite la comunicación con el servidor y se filtra el contenido del canal de
comunicación.
Modo interactivo – si ingresa un nuevo sitio protegido por SSL (con un certificado desconocido), se mostrará un
cuadro de diálogo para la selección de la acción. Este modo le permite crear una lista de certificados SSL que se
excluirán de la exploración.
La Lista de aplicaciones SSL/TLS filtradas puede usarse para personalizar la conducta de ESET Endpoint Security para
aplicaciones específicas
La Lista de certificados conocidos le permite personalizar la conducta de ESET Endpoint Security para certificados SSL
específicos.
89
Excluir la comunicación con dominios de confianza – la fiabilidad del dominio es determinada por la lista blanca
incorporada.
Bloquear las comunicaciones cifradas usando el protocolo obsoleto SSL v2 – las comunicaciones que usen la versión
anterior del protocolo SSL serán automáticamente bloqueadas.
Certificado raíz
Certificado raíz – para que la comunicación SSL funcione correctamente en los navegadores o clientes de correo
electrónico, es imprescindible agregar el certificado raíz para ESET a la lista de certificados raíz conocidos
(desarrolladores). Agregar el certificado raíz a los navegadores conocidos deberá estar habilitada. Seleccione
esta opción para agregar automáticamente el certificado raíz de ESET a los navegadores conocidos (por ejemplo,
Opera y Firefox). Para los navegadores que usan el almacén de certificaciones del sistema, el certificado se
agrega en forma automática (por ejemplo, en Internet Explorer).
Para aplicar el certificado en navegadores no compatibles, haga clic en Ver el certificado > Detalles > Copiar en el
archivo... y luego impórtelo manualmente al navegador.
90
3.9.3.1.4.2 Lista de certificados conocidos
La Lista de certificados conocidos se puede utilizar para personalizar la conducta de ESET Endpoint Security para
certificados SSL específicos, y para recordar las acciones elegidas si se selecciona el Modo interactivo en el modo de
filtrado de protocolos SSL/TSL. La lista se puede ver y editar en Configuración avanzada (F5) > Internet y correo
electrónico > SSL/TSL > Lista de certificados conocidos.
La ventana Lista de certificados conocidos consta de:
Columnas
Elementos de control
Añadir – se puede cargar un certificado en forma manual desde un archivo con la extensión .cer, .crt o .pem.
Haga clic en Archivopara cargar un certificado local o haga clic en URL para especificar la ubicación de un
certificado en línea.
Editar – Seleccione el certificado que desea configurar y haga clic en Editar.
Quitar – Seleccione el certificado que desea eliminar y haga clic en Quitar.
Aceptar/Cancelar – haga clic en Aceptar si desea guardar los cambios o en Cancelar para salir sin realizar
cambios.
Columnas
Elementos de control
Agregar– agregar la aplicación filtrada.
Editar – Seleccione el certificado que desea configurar y haga clic en Editar.
Eliminar – Seleccione el certificado que desea eliminar y haga clic en Quitar.
91
Aceptar/cancelar – haga clic en Aceptar si desea guardar los cambios o en Cancelar si desea salir sin guardar.
92
NOTA
Le recomendamos tener la opción Habilitar protección de correo electrónico mediante plugins del cliente y
Habilitar protección de correo electrónico mediante filtro de protocolos (Configuración avanzada (F5) > Web y
correo electrónico > Protección del cliente de correo electrónico > Protocolos de correo electrónico) habilitada.
93
3.9.3.2.3 Alertas y notificaciones
La protección del correo electrónico proporciona el control de las comunicaciones por correo electrónico recibidas a
través de los protocolos POP3 e IMAP. Mediante el complemento para Microsoft Outlook y otros clientes de correo
electrónico, ESET Endpoint Security proporciona el control de todas las comunicaciones desde el cliente de correo
electrónico (POP3, MAPI, IMAP, HTTP). Al examinar los mensajes entrantes, el programa utiliza todos los métodos
avanzados de exploración incluidos en el motor de exploración ThreatSense. Esto significa que la detección de
programas maliciosos se lleva a cabo incluso antes de verificar su coincidencia con el motor de detección. La
exploración de las comunicaciones de los protocolos POP3 e IMAP es independiente del cliente de correo
electrónico utilizado.
Las opciones para esta funcionalidad están disponibles en Configuración avanzada bajo Internet y correo electrónico
> Protección del cliente de correo electrónico > Alertas y notificaciones.
Configuración de los parámetros del motor ThreatSense – la configuración avanzada del módulo de exploración de
virus le permite configurar los objetos para explorar, los métodos de detección, etc. Haga clic para visualizar la
ventana de configuración detallada del módulo de exploración de virus.
Luego de verificar el correo electrónico, se puede añadir al mensaje una notificación con el resultado de la
exploración. Puede elegir Añadir mensajes de etiqueta a los correos electrónicos recibidos y leídos, Añadir una nota
al asunto de los correos electrónicos infectados que fueron recibidos y leídos o Añadir mensajes de etiqueta a los
correos electrónicos enviados. Tenga en cuenta que, en ocasiones raras, los mensajes de etiqueta pueden ser
omitidos en mensajes HTML problemáticos o si los mensajes están adulterados por malware. Los mensajes de
etiqueta se pueden añadir a los correos electrónicos recibidos y leídos, enviados o a ambas categorías. Las opciones
disponibles son:
· Nunca – no se agregará ningún mensaje de etiqueta en absoluto.
· Solo al correo electrónico infectado – únicamente se marcarán como verificados los mensajes que contengan
software malicioso (predeterminado).
· A todos los correos electrónicos explorados – el programa añadirá mensajes a todos los correos electrónicos
explorados.
Añadir una nota al asunto de los correos electrónicos infectados que fueron enviados – deshabilite esto si no desea
que la protección de correo electrónico incluya una advertencia sobre virus en el asunto de un correo electrónico
infectado. Esta característica hace posible realizar un filtrado simple del correo electrónico basado en el asunto (si
es compatible con el programa de correo electrónico). También incrementa el nivel de credibilidad para el
destinatario y si se detecta una amenaza, proporciona información valiosa sobre el grado de peligro de la amenaza
de un correo electrónico o remitente específicos.
Plantilla añadida al asunto del correo electrónico infectado – si desea modificar el formato del prefijo en el asunto
de un correo electrónico infectado, edite esta plantilla. Esta función reemplazará el asunto del mensaje “Hola” con
un valor de prefijo dado “[virus]” por el siguiente formato: “[virus] Hola”. La variable %VIRUSNAME% representa la
amenaza detectada.
94
3.9.3.2.4 Protección antispam
El correo electrónico no solicitado (llamado spam) es uno de los problemas más importantes de la comunicación
electrónica. El spam representa hasta 80% de todas las comunicaciones por correo electrónico. La protección
antispam sirve para proteger de este problema. Mediante la combinación de varios principios de seguridad del
correo electrónico, el módulo antispam proporciona un filtrado superior para mantener su buzón de entrada
desinfectado.
Un principio importante para la detección del spam es la habilidad de reconocer correo electrónico no solicitado
basándose en direcciones de confianza (lista blanca) y direcciones de spam (lista negra) predefinidas. Todas las
direcciones de la lista de contactos se agregan en forma automática a la lista blanca, al igual que otras direcciones
que usted marque como seguras.
El método principal utilizado para detectar spam es la exploración de las propiedades de los mensajes de correo
electrónico. Los mensajes recibidos se exploran en búsqueda de los criterios antispam básicos (definiciones de
mensajes, heurísticas estadísticas, reconocimiento de algoritmos y otros métodos exclusivos) y el valor de índice
resultante determina si el mensaje es spam o no.
Iniciar automáticamente la protección antispam del cliente de correo electrónico – al habilitar esta opción, la
protección antispam se activará automáticamente con cada inicio del sistema.
Permitir exploración antispam avanzada – se descargarán datos antispam adicionales en forma periódica,
aumentando las capacidades antispam y produciendo mejores resultados.
La protección antispam en ESET Endpoint Security permite establecer distintos parámetros para que funcionen con
las listas de distribución de correo. Las opciones son las siguientes:
Procesamiento de mensajes
Agregar texto al tema del correo electrónico – permite agregar una cadena de texto personalizada como prefijo a
la línea del asunto de los mensajes clasificados como spam. El valor predeterminado es “[SPAM]”.
Mover los mensajes a la carpeta de spam – cuando esta opción está habilitada, los mensajes de spam se enviarán
a la carpeta predeterminada de correo electrónico no deseado, y los mensajes reclasificados como “no es” spam
95
se enviarán al buzón de entrada. Cuando hace clic derecho en un mensaje de correo electrónico y selecciona ESET
Endpoint Security en el menú contextual, puede elegir las opciones que se aplicarán.
Usar la carpeta – esta opción envía el spam a una carpeta definida por el usuario.
Marcar los mensajes de spam como leídos – habilítela para marcar automáticamente los mensajes de spam como
leídos. Resulta útil para centrar su atención en los mensajes “no infectados”.
Marcar los mensajes reclasificados como no leídos – los mensajes originalmente clasificados como spam que
luego se cambiaron a “no infectados” se mostrarán como no leídos.
Registro del puntaje de spam – El motor antispam de ESET Endpoint Security le asigna un puntaje de spam a cada
mensaje explorado. El mensaje se guardará en el registro antispam (ESET Endpoint Security > Herramientas >
Archivos de registro > Protección antispam).
· Ninguno – el puntaje de la exploración antispam no se registrará.
· Reclasificado y marcado como spam – seleccione esta opción si desea registrar un puntaje de spam para los
mensajes marcados como SPAM.
· Todos – se guardarán en el registro todos los mensajes con su puntaje de spam.
NOTA
Cuando hace clic en un mensaje de la carpeta de correo electrónico no deseado, puede elegir Reclasificar los
mensajes seleccionados como NO ES spam, y el mensaje se enviará al buzón de entrada. Cuando hace clic en un
mensaje del buzón de entrada que considera como spam, seleccione Reclasificar los mensajes como spam, y el
mensaje se enviará a la carpeta de correo electrónico no deseado. Puede seleccionar varios mensajes y realizar la
acción sobre todos ellos al mismo tiempo.
NOTA
La protección antispam de ESET Endpoint Security es compatible con Microsoft Outlook, Outlook Express,
Windows Mail y Windows Live Mail.
96
De forma predeterminada, ESET Endpoint Security agrega a la lista blanca todas las direcciones de la libreta de
direcciones de los clientes de correo electrónico compatibles. La lista negra está vacía en forma predeterminada. La
Lista de excepciones solo incluye en forma predeterminada las direcciones de correo electrónico propias del
usuario.
97
3.9.3.3 Protección del acceso a la Web
La conectividad de Internet es una característica estándar en la mayoría de los equipos personales.
Lamentablemente, también se convirtió en el medio principal para transferir códigos maliciosos. La función de la
protección del acceso a la Web es monitorear la comunicación entre los navegadores Web y los servidores remotos,
según las disposiciones normativas de HTTP (protocolo de transferencia de hipertexto) y HTTPS (comunicación
cifrada).
El acceso a las páginas Web que se sabe que tienen contenido malicioso se bloquea antes de que se descargue el
contenido. Todas las otras páginas Web son exploradas por el motor de exploración ThreatSense cuando se cargan, y
se bloquean si se detecta contenido malicioso. La protección del acceso a la Web ofrece dos niveles de protección:
bloqueo según la lista negra y bloqueo según el contenido.
Se recomienda firmemente que deje la protección del acceso a la Web habilitada. Puede acceder a esta opción
desde la ventana principal del programa de ESET Endpoint Security al ir a Configuración > Internet y correo
electrónico > Protección del acceso a la Web.
Las siguientes opciones están disponibles en Configuración avanzada (F5) > Internet y correo electrónico >
Protección del acceso a la Web:
· Protocolos de Internet– le permite configurar la supervisión de estos protocolos estándar, que son utilizados por
la mayoría de los navegadores de Internet.
· Administración de direcciones URL– le permite especificar las direcciones HTTP que se desean bloquear, permitir
o excluir de la verificación.
· Configuración de los parámetros del motor ThreatSense – la configuración avanzada del módulo de exploración de
virus le permite configurar propiedades como, por ejemplo, los tipos de objetos que se explorarán (correos
electrónicos, archivos comprimidos, etc.), los métodos de detección para la protección del acceso a la Web, etc.
98
3.9.3.3.1 Protocolos Web
En forma predeterminada, ESET Endpoint Security está configurado para supervisar el protocolo HTTP utilizado por la
mayoría de los navegadores de Internet.
En Windows Vista y posteriores, el tráfico de HTTP siempre se supervisa en todos los puertos para todas las
aplicaciones. En Windows XP, puede modificar los Puertos utilizados por el protocolo HTTP en Configuración
avanzada (F5) > Internet y correo electrónico > Protección del acceso a la web > Protocolos web > Configuración de la
exploración de HTTP. El tráfico de HTTP se supervisa en los puertos especificados para todas las aplicaciones, y en
todos los puertos para las aplicaciones marcadas como Clientes de Internet y correo electrónico.
ESET Endpoint Security también admite la verificación del protocolo HTTPS. La comunicación de HTTPS utiliza un
canal cifrado para transferir información entre el servidor y el cliente. ESET Endpoint Security verifica la
comunicación mediante los protocolos SSL (protocolo de capa de socket seguro) y TLS (seguridad de la capa de
transporte). El programa solo explorará el tráfico en los puertos definidos en Puertos utilizados por el protocolo
HTTPS, independientemente de la versión del sistema operativo.
La comunicación cifrada no se explorará cuando se usen las configuraciones predeterminadas. Para habilitar la
exploración de la comunicación cifrada, navegue a SSL/TLS en la Configuración avanzada, haga clic en Internet y
correo electrónico > SSL/TLS y seleccione Habilitar filtrado de protocolos SSL/TLS.
99
Agregar – crea una nueva lista además de las predefinidas. Esto puede ser útil si desea separar de manera lógica los
diferentes grupos de direcciones. Por ejemplo, una lista de direcciones bloqueadas puede contener direcciones de
alguna lista negra pública externa, y una segunda lista puede contener su propia lista negra, lo que facilita la
actualización de la lista externa mientras que mantiene intacta la suya.
Editar – modifica las listas existentes. Use esto para agregar o eliminar direcciones de las listas.
Quitar – elimina las listas existentes. Solo es posible para las listas creadas con la opción Agregar, no con las
opciones predeterminadas.
100
NOTA
Los posibles sitios Web de phishing de la lista blanca se vencerán, de forma predeterminada, luego de algunas
horas. Para permitir un sitio Web de manera permanente, use la herramienta Administración de direcciones URL.
En Configuración avanzada (F5) expanda Internet y correo electrónico > Protección del acceso a la web >
Administración de direcciones URL > Lista de direcciones, haga clic en Editar, y luego agregue a la lista el sitio
web que desea editar.
NOTA
Antes de enviar un sitio Web a ESET, asegúrese de que cumpla con uno o más de los siguientes criterios:
· el programa directamente no detecta el sitio Web,
· el programa detecta erróneamente el sitio Web como una amenaza. En este caso, puede Informar un sitio de
phishing falso positivo.
Como alternativa, puede enviar el sitio Web por correo electrónico. Envíe su correo electrónico a
samples@eset.com. Recuerde usar un asunto descriptivo y proporcionar la mayor cantidad de información posible
sobre el sitio web (por ejemplo, el sitio web que se lo recomendó, cómo se enteró de este sitio web, etc.).
101
3.9.4 Control Web
La sección Control Web permite configurar las opciones que protegen a su empresa del riesgo de responsabilidad
legal. El Control Web puede regular el acceso a sitios Web que violan los derechos de propiedad intelectual. El
objetivo es prevenir que los empleados accedan a páginas con contenido inapropiado o perjudicial o páginas que
puedan tener un impacto negativo en la productividad.
El Control Web permite bloquear páginas Web que puedan contener material potencialmente ofensivo. Además,
los empleadores y los administradores de sistemas pueden prohibir el acceso a más de 27 categorías de sitios Web
predefinidos y a más de 140 subcategorías.
En forma predeterminada, el Control Web está deshabilitado. Para activar el Control Web, presione la tecla F5 para
ingresar a Configuración avanzada, y expanda Internet y correo electrónico > Control Web. Seleccione Integrar al
sistema para activar el Control Web en ESET Endpoint Security. Haga clic en Editar junto a las Reglas para acceder a la
ventana Editor de reglas de control web.
Los campos Mensaje de la página web bloqueada y Gráfico de la página web bloqueada le permiten personalizar
fácilmente el mensaje que se muestra cuando se bloquea un sitio web.
SUGERENCIA
Un ejemplo de un mensaje de una página web bloqueada sería La página web se bloqueó debido a que se
considera inapropiada o con contenido perjudicial. Póngase en contacto con su administrador para obtener
detalles y puede ingresar una dirección web o una ruta de red con una imagen personalizada; por ejemplo
http://test.com/test.jpg. El tamaño de la imagen personalizada está establecido automáticamente en 90 x 30. Las
imágenes se escalarán automáticamente a este tamaño si tienen otras dimensiones.
SUGERENCIA
En caso de que desee bloquear todas las páginas web y dejar disponibles solo algunas, haga clic aquí.
3.9.4.1 Reglas
La ventana del editor de Reglas muestra las reglas existentes basadas en la URL o basadas en la Categoría.
La lista de reglas contiene varias descripciones de reglas como nombre, tipo de bloqueo, acción a realizar después
de hacer coincidir una regla de control Web con la severidad del registro.
Haga clic en Agregar o Editar para administrar una regla. Haga clic en Copiar para crear una regla nueva con opciones
predefinidas utilizadas para otra regla seleccionada. Al presionar Ctrl y hacer clic, puede seleccionar múltiples reglas
y eliminar todas las reglas seleccionadas. La casilla de verificación Habilitada deshabilita o habilita una regla; esto
102
puede ser útil si no desea eliminar una regla de forma permanente dado que puede utilizarla en el futuro.
Las reglas se clasifican en el orden que determina su prioridad, con las reglas de prioridad más alta en la parte
superior. La evaluación de las reglas en función del URL siempre tiene prioridad más alta que la evaluación en
función de la categoría. Por ejemplo, si una regla basada en un URL está debajo de una regla basada en una categoría
en la lista de reglas, la regla basada en el URL tiene prioridad más alta y se evaluará primero.
Ingrese una descripción de la regla en el campo Nombre para tener una mejor identificación. Haga clic en el
interruptor Habilitado para deshabilitar o habilitar la regla; esto puede ser útil si no desea eliminar la regla
permanentemente.
Tipo de acción
· Acción basada en la URL – para las reglas que controlan el acceso a un sitio web determinado, ingrese la URL en
el campo URL.
· Acción basada en la categoría – cuando se selecciona esta opción, configure la categoría para su acción mediante
el uso del menú desplegable.
Pueden usarse los símbolos especiales * (asterisco) y ? (signo de interrogación) no se pueden utilizar en la lista de
direcciones URL. Al crear un grupo de URL que contiene un sitio web con múltiples dominios de nivel superior (TLD),
cada TLD se debe agregar por separado. Si agrega un dominio al grupo, todo el contenido ubicado en este dominio y
todos los subdominios (por ejemplo, sub.examplepage.com) se bloquearán o permitirán en función de su elección
de la acción basada en la URL.
Derechos de acceso
· Permitir – se otorgará acceso a la dirección/categoría URL.
· Advertir – advierte al usuario acerca de la dirección o categoría URL.
· Bloquear – bloquea la dirección o la categoría URL.
Aplicar durante – le permite aplicar la regla creada durante el tiempo especificado. En el menú desplegable,
seleccione el intervalo de tiempo creado. Para obtener más información sobre Intervalos de tiempo haga clic aquí.
URL o Usar grupo de URL: utiliza el vínculo URL o el grupo de vínculos para permitir, bloquear o advertir al usuario
cuando se detecta una de estas URL.
Severidad de registro:
· Siempre – registra todas las comunicaciones en línea.
103
· Diagnóstico – registra la información necesaria para ajustar el programa.
· Información – registra los mensajes de información, incluidos los mensajes de actualizaciones correctas, y todos
los historiales antes mencionados.
· Advertencia – registra los errores críticos y mensajes de advertencia.
· Ninguno – no se creará registro alguno.
NOTA
La severidad de registro se puede configurar por separado para cada lista. ESET Remote Administrator puede
recopilar los registros con el estado Advertencia.
Lista de usuarios
· Agregar – abre la ventana de diálogo Seleccionar usuarios o grupos, que le permite seleccionar los usuarios
deseados. Cuando no se ingresa ningún usuario, la regla se aplica a todos los usuarios.
· Quitar – quita el usuario seleccionado del filtro.
Estos son algunos ejemplos de categorías con las que podrían no estar familiarizados los usuarios:
104
Varios – por lo general, direcciones IP privadas (locales), como intranet, 192.168.0.0/16, etc. Cuando recibe un código
de error 403 o 404, el sitio Web también coincidirá con esta categoría.
No resuelto – esta categoría incluye páginas Web no resueltas debido a un error de conexión con el motor de la base
de datos de control Web.
No categorizado – páginas Web desconocidas que aún no forman parte de la base de datos de control Web.
Proxies – pueden usarse páginas Web como anonimizadores, redirectores o servidores proxy públicos para acceder
(en forma anónima) a páginas Web generalmente prohibidas por el filtro de control Web.
Uso compartido de archivos – estas páginas Web contienen grandes cantidades de datos, como fotos, videos o libros
electrónicos. Existe el riesgo de que estos sitios contengan material para adultos o potencialmente ofensivo.
NOTA
Una subcategoría puede pertenecer a cualquier grupo. Existen algunas subcategorías que no se incluyen en los
grupos predefinidos (por ejemplo, Juegos). Para hacer coincidir una subcategoría deseada por medio del filtro de
control Web, agréguela al grupo que desea.
NOTA
El hecho de bloquear o permitir una página Web específica puede ser más preciso que bloquear o permitir una
categoría completa de páginas Web. Tenga precaución al modificar estas opciones y agregar una categoría o
página Web a la lista.
105
Versión actual – el ESET Endpoint Security número de compilación.
Última actualización – la fecha y hora de la última actualización. Asegúrese de que la fecha sea reciente, lo que
significa que el motor de detección está al día.
Última búsqueda de actualizaciones – es la fecha y hora del último intento de actualización de módulos.
Mostrar todos los módulos – haga clic en el enlace para abrir la lista de módulos instalados y comprobar la versión y
la última actualización de un módulo.
106
Proceso de actualización
Luego de hacer clic en Buscar actualizaciones, comienza el proceso de descarga. Se mostrará una barra de progreso
de la descarga y el tiempo restante para su finalización. Para interrumpir la actualización, haga clic en Cancelar
actualización.
IMPORTANTE
En circunstancias normales, el motor de detección se actualiza varias veces al día. Si este no es el caso, el
programa está desactualizado y más vulnerable a una infección. Actualice el motor de detección lo antes posible.
El motor de detección está desactualizado – este error aparecerá luego de varios intentos insatisfactorios de
actualizar el motor de detección. Es recomendable verificar la configuración de la actualización. El motivo más
común de este error es el ingreso incorrecto de los datos de autenticación o la configuración incorrecta de las
opciones de conexión.
107
La notificación anterior está relacionada con los dos mensajes siguientes Falló la actualización del motor de
detección sobre actualizaciones insatisfactorias que se detallan a continuación:
1. Licencia no válida – la clave de licencia no se ha ingresado correctamente en la configuración de actualización.
Recomendamos que verifique sus datos de autenticación. La ventana Configuración avanzada (haga clic en
Configuración en el menú principal y luego en Configuración avanzada, o presione la tecla F5 del teclado)
contiene opciones adicionales de actualización. Haga clic en Ayuda y soporte > Administrar licencia en el menú
principal para ingresar una clave de licencia nueva.
108
2. Se produjo un error al descargar los archivos de actualización – una causa posible de este error es la configuración
de la conexión a Internet incorrecta. Es recomendable verificar su conectividad a Internet (para ello, abra
cualquier sitio Web en su navegador Web). Si el sitio Web no se abre, es probable que la conexión a Internet no
esté establecida o que haya problemas de conectividad en el equipo. Consulte el problema con su proveedor de
servicios de Internet (ISP) si su conexión está inactiva.
NOTA
Para obtener más información, visite este artículo de la Base de conocimiento de ESET.
General
El perfil de actualización que actualmente está en uso se muestra en el menú desplegable Actualizar perfil. Para
crear un perfil nuevo, navegue hasta la pestaña Perfiles y haga clic en Editar al lado de Lista de perfiles, ingrese su
propio Nombre de perfil y luego haga clic en Agregar.
Si experimenta alguna dificultad cuando intenta descargar las actualizaciones de los módulos, haga clic en Borrar
para borrar la caché o los archivos de actualización temporales.
Reversión
Si sospecha que la nueva actualización del motor de detección o de los módulos de programas puede ser inestable o
estar corrupta, puede hacer una reversión a la versión anterior y deshabilitar cualquier actualización para un período
109
elegido. O bien puede habilitar las actualizaciones que se deshabilitaron anteriormente si las pospuso de manera
indefinida.
ESET Endpoint Security registra instantáneas del motor de detección y de los módulos de programa para usar con la
característica de reversión. Para crear instantáneas de la base de datos de virus, deje el interruptor Crear
instantáneas de los archivos de actualización habilitado. El campo Cantidad de instantáneas almacenadas
localmente define la cantidad de instantáneas anteriores de la base de datos de virus que se almacenaron.
Si hace clic en Revertir (Configuración avanzada (F5) > Actualización > General), debe seleccionar un intervalo de
tiempo del menú desplegable que represente el período en que se hará una pausa en las actualizaciones del motor
de detección y del módulo del programa.
Para que las actualizaciones se descarguen correctamente, es esencial que complete correctamente todos los
parámetros de actualización. Si usa un firewall, asegúrese de que el programa de ESET tenga permiso para
comunicarse con Internet (por ejemplo, una comunicación HTTP).
Perfiles
Para crear un perfil nuevo, haga clic en Editar junto a Lista de perfiles, ingrese su propio Nombre de perfil, y luego
haga clic en Agregar. Para editar el perfil creado, seleccione el perfil y haga clic en Editar al lado de la Lista de
perfiles.
Básico
De forma predeterminada, el Tipo de actualización está configurado en Actualización normal para garantizar que los
archivos de actualización se descarguen automáticamente del servidor de ESET con la menor carga de tráfico de red.
Las actualizaciones previas a su lanzamiento (la opción Actualización previa a su lanzamiento) son actualizaciones
que fueron evaluadas en forma interna y que estarán disponibles al público en general en poco tiempo. Puede
beneficiarse de la habilitación de las actualizaciones previas al lanzamiento mediante el acceso a las soluciones y los
métodos de detección más recientes. Sin embargo es posible que las actualizaciones previas a la publicación no
sean lo suficientemente estableces en todo momento y NO DEBEN utilizarse en estaciones de trabajo y servidores
de producción donde se necesita de estabilidad y disponibilidad máximas. Actualización demorada: permite hacer
la actualización desde los servidores de actualización especial que proporcionan nuevas versiones de bases de datos
110
de virus con un retraso de por lo menos X horas (es decir, bases de datos revisadas en un entorno real y por lo tanto
consideradas como estables).
Deshabilitar la notificación sobre actualizaciones correctas – Desactiva la notificación de la bandeja del sistema en el
sector inferior derecho de la pantalla. Resulta útil seleccionar esta opción si se está ejecutando una aplicación de
pantalla completa o un juego. Tenga en cuenta que el Modo de presentación desactivará todas las notificaciones.
Actualizar desde medio extraíble – le permite actualizar desde medios extraíbles si contiene un mirror creado.
Cuando se selecciona Automático, la actualización no se ejecutará en el fondo. Si desea mostrar diálogos de
actualización, seleccione Preguntar siempre.
El menú Actualizar servidor está establecido en Elegir automáticamente de manera predeterminada. El servidor de
actualización es la ubicación donde se almacenan las actualizaciones. Si usa un servidor de ESET, recomendamos que
deje seleccionada la opción predeterminada.
Cuando use un servidor HTTP local (también conocido como Mirror), el servidor de actualización debe ingresarse de
la siguiente manera:
http://computer_name_or_its_IP_address:2221
Cuando use un servidor HTTP local con SSL, el servidor de actualización debe ingresarse de la siguiente manera:
https://computer_name_or_its_IP_address:2221
Cuando use una carpeta compartida local, el servidor de actualización debe configurarse de la siguiente manera:
\\computer_name_or_its_IP_address\shared_folder
Seleccione Hasta que se revoque para posponer las actualizaciones regulares de manera indefinida hasta restaurar
manualmente la funcionalidad de actualización. Debido a que esto representa un riesgo potencial para la seguridad,
no recomendamos seleccionar esta opción.
111
La versión del motor de detección regresa a la versión más antigua disponible y se guarda como una instantánea en
el sistema local de archivos del equipo.
NOTA
Deje que el número 10646 sea la versión más reciente del motor de detección. 10645 y 10643 se guardan como
instantáneas del motor de detección. Tenga en cuenta que 10644 no está disponible porque, por ejemplo, el
equipo estaba apagado y se ofreció una actualización más reciente antes de descargar 10644. Si ha ingresado 2
(dos) en el campo Cantidad de instantáneas almacenadas localmente y hace clic en Revertir, el motor de
detección (incluidos los módulos de programa) se restaurará a la versión número 10643. Este proceso puede
tardar un poco. Revise si la versión del motor de detección se ha revertido desde la ventana principal del
programa de ESET Endpoint Security en la sección Actualizar.
Habilitar actualización manual de componentes del programa – Deshabilitado de manera predeterminada. Cuando
esté deshabilitado y haya disponible una nueva versión de ESET Endpoint Security, usted puede buscar
actualizaciones en el panel Actualizaciones e instalar la versión más actual.
Si la opción Preguntar antes de descargar la actualización está activada, se mostrará una notificación cuando haya
una nueva actualización disponible.
Si el tamaño del archivo de actualización es mayor que el valor especificado en el campo Preguntar si un archivo de
actualización es más grande que (kB), el programa mostrará una notificación.
112
Para obtener una seguridad adicional, puede usar el protocolo HTTPS para descargar los archivos de actualización. Es
casi imposible realizar un seguimiento de las transferencias de datos y credenciales de registro con este protocolo.
La opción Tipo de clave privada está configurada en Integrada de forma predeterminada (y por lo tanto, la opción
Archivo de clave privada está deshabilitada de forma predeterminada). Esto significa que la clave privada es parte
del archivo de cadena de certificados seleccionado.
NOTA
Los datos de autenticación como el Nombre de usuario y la Contraseña sirven para acceder al servidor proxy.
Complete estos campos solo si el nombre de usuario y la contraseña son necesarios. Recuerde que estos campos
no corresponden a su nombre de Usuario y Contraseña para ESET Endpoint Security y solo deben suministrarse si
tiene la certeza de que se requiere una contraseña para acceder a Internet a través de un servidor proxy.
Seleccione Cuenta del sistema (predeterminado) si desea usar la cuenta del sistema para la autenticación.
Normalmente, no se lleva a cabo ningún proceso de autenticación si no se proporcionan los datos de autenticación
en la sección principal correspondiente a la configuración de la actualización.
Para asegurar que el programa realice la autenticación mediante la cuenta de un usuario actualmente registrado,
seleccione Usuario actual. La desventaja de esta solución es que el programa no podrá conectarse al servidor de
actualización cuando no haya ningún usuario registrado.
Seleccione Usuario especificado si desea que el programa use la cuenta de un usuario específico para realizar la
autenticación. Use este método cuando falle la conexión predeterminada de la cuenta del sistema. Recuerde que la
cuenta de usuario especificada debe tener acceso al directorio de archivos de actualización en el servidor local. De
lo contrario, el programa no podrá establecer una conexión y descargar las actualizaciones.
Las configuraciones de Nombre de usuario y contraseña son opcionales.
ADVERTENCIA
cuando esté seleccionado el Usuario actual o el Usuario especificado, puede aparecer un error al cambiar la
identidad del programa según el usuario deseado. Es recomendable ingresar los datos de autenticación de la LAN
en la sección principal correspondiente a la configuración de la actualización. En esta sección de configuración de
la actualización, los datos de autenticación deben ingresarse de la siguiente forma: nombre_de_dominio\usuario
(si es un grupo de trabajo, ingrese nombre_del_grupo_de_trabajo\nombre) y la contraseña. Cuando se actualiza
desde la versión HTTP del servidor local, no se necesita realizar ninguna autenticación.
Seleccione Desconectar del servidor después de la actualización para forzar una desconexión si la conexión al
servidor permanece activa aunque las actualizaciones se hayan terminado de descargar.
113
3.9.5.1.6 Mirror de actualización
ESET Endpoint Security le permite crear copias de archivos de actualización que se pueden utilizar para actualizar
otras estaciones de trabajo en la red. El uso de un “servidor reflejado” – es conveniente tener una copia de los
archivos de actualización en el entorno de la LAN debido a que las estaciones de trabajo no necesitan descargar los
archivos de actualización desde el servidor de actualización del proveedor reiteradamente. Las actualizaciones se
descargan al servidor reflejado local y, desde allí, se distribuyen a todas las estaciones de trabajo para evitar el
riesgo de generar una sobrecarga en el tráfico de red. La actualización de las estaciones de trabajo cliente desde un
Mirror optimiza el equilibrio de carga de la red y preserva el ancho de banda de la conexión a Internet.
Las opciones de configuración del servidor Mirror local se encuentran en la Configuración avanzada en Actualización.
Para acceder a esta sección presione F5 para acceder a Configuración avanzada, haga clic en Actualizar > Perfiles y
seleccione la pestaña Espejo.
Para crear un servidor reflejado en la estación de trabajo de un cliente, habilite Crear mirror de actualización. Al
habilitar esta opción, se activan otras opciones de configuración del Mirror, tales como la forma de acceder a los
archivos de actualización y la ruta de actualización a los archivos replicados.
Los métodos para acceder al servidor Mirror se describen en detalle en Actualizar desde el Mirror. Existen dos
métodos básicos para acceder al Mirror – la carpeta con los archivos de actualización puede presentarse como una
carpeta compartida de red, o los clientes pueden acceder al servidor reflejado ubicado en un servidor HTTP.
La carpeta destinada a almacenar los archivos de actualización para el Mirror se define en Carpeta para almacenar los
archivos replicados. Para elegir una carpeta diferente, haga clic en Eliminar para borrar la carpeta predefinida C:
\ProgramData\ESET\ESET Endpoint Security\mirror y haga clic en Editar para buscar una carpeta en la computadora
local o en la carpeta de red compartida. Si la carpeta especificada requiere una autorización, deberá ingresar los
114
datos de autenticación en los campos Nombre de usuario y Contraseña. Si la carpeta de destino seleccionada está en
un disco de la red cuyo sistema operativo es Windows NT, 2000 o XP, el nombre de usuario y la contraseña
especificados deben contar con privilegios de escritura para la carpeta seleccionada. El nombre de usuario y la
contraseña se deben ingresar con el formato Dominio/Usuario o Grupo de trabajo/Usuario. Recuerde que debe
proporcionar las contraseñas correspondientes.
Archivos – al configurar el Mirror, también puede especificar las versiones de idiomas de las actualizaciones que
desea descargar. Los idiomas seleccionados deben ser compatibles con el servidor reflejado configurado por el
usuario.
115
Seleccione la opción Básica para usar la codificación de Base64 con la autenticación básica del nombre de usuario y la
contraseña. La opción NTLM proporciona una codificación obtenida mediante un método seguro. Para la
autenticación, se utiliza el usuario creado en la estación de trabajo que comparte los archivos de actualización. La
configuración predeterminada es Ninguna, que otorga acceso a los archivos de actualización sin necesidad de
autenticar.
ADVERTENCIA
Si desea permitir el acceso a los archivos de actualización a través del servidor HTTP, la carpeta del Mirror debe
estar ubicada en el mismo equipo que la instancia de ESET Endpoint Security que la crea.
Después de configurar su servidor Mirror, debe agregar el nuevo servidor de actualización en las estaciones de
trabajo cliente. Para hacerlo, siga estos pasos:
· Acceda a Configuración avanzada (F5) y haga clic en Actualizar > Perfiles > Básico.
· Quite Elegir automáticamente y agregue un nuevo servidor al campo Servidor de actualización mediante uno de
los siguientes formatos:
http://IP_address_of_your_server:2221
https://IP_address_of_your_server:2221 (si se utiliza SSL)
116
Acceder al Mirror mediante el uso compartido del sistema
En primer lugar, se debe crear una carpeta compartida en un dispositivo local o de red. Cuando se crea la carpeta
para el Mirror, se deberá proporcionar el acceso de “escritura” para el usuario que guardará los archivos de
actualización en la carpeta y el acceso de “lectura” para todos los usuarios que actualizarán ESET Endpoint Security
desde la carpeta del Mirror.
Luego, configure el acceso al Espejo en la pestaña Configuración avanzada > Actualizar > Perfiles > Espejo mediante
la deshabilitación de Brindar archivos de actualización mediante el servidor HTTP interno. Esta opción está
habilitada en forma predeterminada en el paquete de instalación del programa.
Si la carpeta compartida se ubica en otro equipo de la red, es necesario ingresar los datos de autenticación para
acceder al otro equipo. Para ingresar datos de autenticación, abra ESET Endpoint Security Configuración avanzada
(F5) y haga clic en Actualizar > Perfiles > Conectar a LAN como. Esta configuración es la misma que se usa para la
actualización, como se describe en la sección Conectarse a la LAN como.
Cuando la configuración del Mirror esté completa, en las estaciones de trabajo cliente establezca \\UNC\RUTA como
el servidor de actualización siguiendo los pasos que figuran a continuación:
1. Abra ESET Endpoint Security Configuración avanzada y haga clic en Actualizar > Perfiles > Básico.
2. Desconectar Elija automáticamente y un nuevo servidor para el campo Actualizar servidor mediante el uso del
formato \\UNC\PATH.
NOTA
Para un funcionamiento correcto de las actualizaciones, deberá especificar la ruta a la carpeta del Mirror como
una ruta UNC. Es posible que no funcionen las actualizaciones de las unidades asignadas.
La última sección controla los componentes del programa (PCU). De forma predeterminada, los componentes del
programa descargados están preparados para copiarse en el servidor reflejado local. Si se activa Actualizar los
componentes del programa, no es necesario hacer clic en Actualización, ya que los archivos se copian en el servidor
reflejado local automáticamente cuando están disponibles. Consulte el Modo de actualización para obtener más
información sobre las actualizaciones del componente del programa.
117
ESET Endpoint Security informa que se produjo un error al conectarse con el servidor Mirror: la comunicación en el
puerto definido para acceder a la versión HTTP del Mirror está bloqueada.
Cada tarea de actualización puede modificarse acorde a sus necesidades. Además de las tareas de actualización
predeterminadas, puede crear nuevas tareas de actualización con una configuración definida por el usuario. Para
obtener más detalles sobre la creación y configuración de tareas de actualización, consulte Tareas programadas.
3.9.6 Herramientas
El menú Herramientas incluye módulos que ayudan a simplificar la administración del programa y ofrece opciones
adicionales para usuarios avanzados.
118
Este menú incluye las siguientes herramientas:
· Archivos de registro
· Estadísticas de protección
· Observar la actividad
· Procesos activos (si ESET LiveGrid® está habilitado en ESET Endpoint Security )
· Tareas programadas
· Cuarentena
· Conexiones de red (si el Firewall está habilitado en ESET Endpoint Security)
· ESET SysInspector
Enviar muestra para su análisis – le permite enviar un archivo sospechoso al laboratorio de virus de ESET para ser
analizado. La ventana de diálogo que se muestra luego de hacer clic en esta opción se describe en la sección Envío
de muestras para su análisis.
ESET SysRescue – lo redirecciona a la página de ESET SysRescue Live, donde puede descargar la imagen de ESET
SysRescue Live o el Live CD/USB Creator para los sistemas operativos de Microsoft Windows.
119
· Sitios Web filtrados – Esta lista es útil si desea ver una lista de los sitios Web bloqueados por la Protección del
acceso a la Web o el Control Web. En estos registros puede ver la hora, la URL, el usuario y la aplicación que abrió
una conexión con el sitio Web en particular.
· Protección antispam – contiene historiales relacionados con los mensajes de correo electrónico que se marcaron
como spam.
· Control Web – muestra las direcciones URL bloqueadas o permitidas y los detalles acerca de cómo están
categorizadas. La columna Acción realizada explica cómo se aplicaron las reglas de filtrado.
· Control del dispositivo – contiene registros de medios o dispositivos extraíbles que se conectaron al equipo. Solo
los dispositivos con una Regla de control del dispositivo se registrarán en el archivo de registro. Si la regla no
coincide con un dispositivo conectado, se creará una entrada del registro para un dispositivo conectado. Aquí
también puede ver detalles tales como el tipo de dispositivo, número de serie, nombre del proveedor y tamaño
del medio (si está disponible).
En cada una de las secciones, la información mostrada se puede copiar al portapapeles (teclas de acceso directo Ctrl
+ C) al seleccionar la entrada y hacer clic en Copiar. Las teclas Ctrl y Shift se pueden utilizar para seleccionar
múltiples entradas.
Haga clic en Filtrado para abrir la ventana Filtrado de registros donde puede definir los criterios de filtrado.
Puede hacer que el menú contextual aparezca al hacer clic derecho en un historial específico. Las siguientes
opciones se encuentran disponibles en el menú contextual:
· Mostrar– muestra información más detallada acerca del registro seleccionado en una ventana nueva.
· Filtrar los mismos historiales – luego de activar este filtro, solo verá los historiales del mismo tipo (diagnósticos,
advertencias, ...).
· Filtrar.../Buscar... – Después de hacer clic en esta opción, la ventana Buscar en registro le permitirá definir los
criterios de filtrado para entradas de registros específicas.
· Habilitar filtro – activa las configuraciones de los filtros.
· Deshabilitar el filtro – borra todas las configuraciones del filtro (descritas arriba).
· Copiar/Copiar todo – copia la información sobre todos los historiales que aparecen en la ventana.
· Eliminar/Eliminar todo – elimina los historiales seleccionados o todos los historiales mostrados (esta acción
requiere privilegios de administrador).
· Exportar... – exporta información sobre los historiales en formato XML.
· Exportar todo... – exporta información sobre todos los registros en formato XML.
· Desplazar registro – deje esta opción habilitada para desplazarse automáticamente por los registros antiguos y ver
los registros activos en la ventana Archivos de registro.
120
minúsculas en el filtrado.
Buscar hacia arriba – se mostrarán primero los resultados de la búsqueda que aparecen más arriba en el documento.
Use conexión directa si el proxy no está disponible – si un producto está configurado para usar HTTP Proxy y no
puede llegar al proxy, el producto evadirá el proxy y se comunicará directamente con los servidores ESET.
La configuración del servidor proxy también puede establecerse desde Configuración avanzada de la actualización
(Configuración avanzada > Actualizar > Perfiles > Actualizaciones > Opciones de conexión seleccionando Conexión a
través de un servidor proxy del menú desplegable Modo de proxy). Esta configuración se aplica al perfil de
actualización determinado y se recomienda para equipos portátiles, ya que suelen recibir las actualizaciones del
motor de detección desde ubicaciones remotas. Para obtener más información sobre esta configuración, consulte
Configuración de actualización avanzada.
121
En forma predeterminada, se muestran las siguientes tareas programadas:
· Mantenimiento de registros
· Actualización automática de rutina
· Actualización automática después de la conexión de acceso telefónico
· Actualización automática luego del registro del usuario
· Exploración automática de archivos durante el inicio del sistema (después del registro del usuario)
· Exploración automática de archivos durante el inicio del sistema (después de la actualización del módulo exitosa)
Para editar la configuración de una tarea programada existente (ya sea predeterminada o definida por el usuario),
haga un clic derecho en la tarea y luego en Editar... o seleccione la tarea que desea modificar y haga clic en el botón
Editar.
4. Encienda el interruptor de Habilitado si desea activar la tarea (puede hacerlo luego al seleccionar/anular la
selección de la casilla de verificación en la lista de tareas programadas), haga clic en Siguiente y seleccione una
de las opciones de programación:
· Una vez – la tarea se realizará en la fecha y a la hora predefinidas.
· Reiteradamente – la tarea se realizará con el intervalo de tiempo especificado.
· Diariamente – la tarea se ejecutará reiteradamente todos los días a la hora especificada.
· Semanalmente – la tarea se ejecutará en el día y a la hora especificados.
· Cuando se cumpla la condición – la tarea se ejecutará tras un suceso especificado.
5. Seleccione Omitir tarea al ejecutar con alimentación de la batería para reducir los recursos del sistema mientras
un equipo portátil se ejecuta con alimentación de la batería. La tarea se ejecutará en la fecha y hora especificadas
en los campos de Ejecución de la tarea. Si la tarea no se pudo ejecutar en el momento predefinido, puede
especificar cuándo se realizará nuevamente:
· A la próxima hora programada
· Lo antes posible
· Inmediatamente, si el tiempo desde la última ejecución excede un valor específico (el intervalo se puede definir
con el uso del cuadro de desplazamiento del Tiempo desde la última ejecución)
Puede rever la tarea programada al hacer clic con el botón secundario y clic en Mostrar detalles de la tarea.
122
3.9.6.4 Estadísticas de protección
Para ver un gráfico de datos estadísticos relacionados con los módulos de protección de ESET Endpoint Security, haga
clic en Herramientas > Estadísticas de protección. Seleccione el módulo de protección deseado del menú
desplegable Estadísticas para ver el gráfico y la leyenda correspondientes. Si pasa el mouse sobre un elemento de la
leyenda, el gráfico únicamente mostrará los datos de ese elemento.
Están disponibles los siguientes gráficos de estadísticas:
· Protección antivirus y antispyware – muestra la cantidad de objetos infectados y desinfectados.
· Protección del sistema de archivos – solo muestra los objetos que fueron leídos o escritos en el sistema de
archivos.
· Protección del cliente de correo electrónico – solo muestra los objetos que fueron enviados o recibidos por
clientes de correo electrónico.
· Acceso Web y protección antiphishing – solo muestra los objetos descargados por los navegadores Web.
· Protección antispam del cliente de correo electrónico – muestra las estadísticas históricas del antispam desde el
último inicio del sistema.
Junto a los gráficos de estadísticas puede ver el número total de los objetos explorados, el número de objetos
infectados, el número de objetos desinfectados y el número de objetos no infectados. Haga clic en Restablecer para
borrar toda la información estadística o haga clic en Restablecer todo para borrar y quitar todos los datos existentes.
123
3.9.6.5 Observar la actividad
Para observar la Actividad del sistema de archivos actual en forma de gráfico, haga clic en Herramientas > Observar
la actividad. En el sector inferior del gráfico hay una línea de tiempo que registra la actividad del sistema de archivos
en tiempo real conforme al intervalo de tiempo seleccionado. Para cambiar el intervalo de tiempo, seleccione
Actualizar índice en el menú desplegable.
124
3.9.6.6 ESET SysInspector
ESET SysInspector es una aplicación que inspecciona minuciosamente su equipo, recopila información detallada
sobre los componentes del sistema como las aplicaciones y los controladores, las conexiones de red o las entradas
de registro importantes, y evalúa el nivel de riesgo de cada componente. Esta información puede ayudar a
determinar la causa del comportamiento sospechoso del sistema, que puede deberse a una incompatibilidad de
software o hardware o a una infección de códigos maliciosos.
La ventana SysInspector muestra la siguiente información sobre los registros creados:
· Hora – la hora de creación del registro.
· Comentario – un breve comentario.
· Usuario – el nombre del usuario que creó el registro.
· Estado – el estado de la creación del registro.
Están disponibles las siguientes opciones:
· Abrir – abre el registro creado. También puede hacer clic derecho en un archivo de registro determinado y
seleccionar Mostrar en el menú contextual.
· Comparar – compara dos registros existentes.
· Crear... – crea un nuevo registro. Espere hasta que ESET SysInspector finalice (el estado de registro se visualizará
como Creado) antes de intentar acceder al registro.
· Eliminar – elimina los registros seleccionados de la lista.
Los siguientes elementos están disponibles en el menú contextual cuando se seleccionan uno o más archivos de
registro:
· Mostrar – abre el registro seleccionado en ESET SysInspector (equivale a hacer doble clic en el registro).
· Comparar – compara dos registros existentes.
· Crear... – crea un nuevo registro. Espere hasta que ESET SysInspector finalice (el estado de registro se visualizará
como Creado) antes de intentar acceder al registro.
· Eliminar todo – elimina todos los registros.
· Exportar... – exporta el registro a un archivo .xml o .xml comprimido.
125
El sistema de reputación ESET LiveGrid® proporciona listas blancas y listas negras basadas en la nube. Para acceder a
la configuración de ESET LiveGrid®, presione la tecla F5 para ingresar a la Configuración avanzada y expanda
Herramientas > ESET LiveGrid®.
Habilitar el sistema de reputación ESET LiveGrid® (recomendado) – el sistema de reputación ESET LiveGrid® mejora
la eficacia de las soluciones anti-malware de ESET al comparar los archivos analizados con una base de datos de
elementos de listas blancas y listas negras en la nube.
Enviar estadísticas anónimas – permita a ESET recopilar información acerca de amenazas detectadas recientemente
como el nombre de la amenaza, la fecha y la hora de detección, el método de detección y los metadatos asociados,
la versión del producto, y la configuración, incluida la información sobre su sistema.
Enviar los archivos – los archivos sospechosos que se asemejan a amenazas, y/o los archivos con características o
comportamientos inusuales se envían a ESET para su análisis.
Seleccione Habilitar registro para crear un registro de sucesos que recopile información sobre los archivos y los
datos estadísticos enviados. Esto permite la creación de registros en el Registro de sucesos cuando los archivos o
datos estadísticos se envían.
Correo electrónico de contacto (opcional) – puede incluir su correo electrónico junto con los archivos sospechosos,
así podrá utilizarse para contactarlo en caso de que se requiera información adicional para el análisis. Recuerde que
no recibirá respuesta alguna de ESET a menos que se necesite información adicional.
Exclusión – el filtro de exclusión le permite excluir ciertos archivos o ciertas carpetas del envío (por ejemplo, puede
ser útil para excluir archivos que puedan contener información confidencial, como documentos u hojas de cálculo).
Los archivos incluidos en la lista nunca se enviarán a los laboratorios de ESET para su análisis, aunque contengan un
código sospechoso. Los tipos de archivos más comunes se excluyen en forma predeterminada (.doc, etc.). Si lo
desea, puede agregar archivos a la lista de archivos excluidos.
Si usted ya utilizó antes ESET LiveGrid® y lo deshabilitó, es posible que hayan quedado paquetes de datos para
enviar. Aun después de su desactivación, dichos paquetes se enviarán a ESET. Una vez que se envíe toda la
información actual, no se crearán más paquetes.
126
3.9.6.8 Procesos activos
Los procesos activos muestran los programas o procesos activos en su equipo y mantiene a ESET informado de
manera instantánea y continua sobre las nuevas infiltraciones. ESET Endpoint Security proporciona información
detallada sobre los procesos activos para proteger a los usuarios con la tecnología ESET LiveGrid® habilitada.
Nivel de riesgo – en la mayoría de los casos, la tecnología ESET Endpoint Security y ESET LiveGrid® les asigna niveles
de riesgo a los objetos (archivos, procesos, claves de registro, etc.). Para ello, utiliza una serie de reglas heurísticas
que examinan las características de cada objeto y después estima su potencial de actividad maliciosa. Según estas
heurísticas, a los objetos se les asignará un nivel de riesgo desde el valor 1: seguro (en color verde) hasta 9:
peligroso (en color rojo).
Proceso – la imagen y el nombre del programa o proceso que se está ejecutando actualmente en el equipo. También
puede usar el Administrador de tareas de Windows para ver todos los procesos activos en el equipo. Puede abrir el
Administrador de tareas al hacer clic derecho en un área vacía de la barra de tareas seleccionado, posteriormente, el
Administrador de tareas, o al presionar Ctrl+Shift+Esc en su teclado.
PID – es un identificador de procesos activos en los sistemas operativos de Windows.
NOTA
Las aplicaciones conocidas marcadas como Seguro (en verde) indudablemente no están infectadas (figuran en la
lista blanca) y se excluyen de la exploración, ya que de esta forma se mejora la velocidad de exploración
correspondiente a la exploración del equipo a pedido o la protección del sistema de archivos en tiempo real en
el equipo.
Cantidad de usuarios – la cantidad de usuarios que usan una aplicación específica. Estos datos se recopilan con la
tecnología ESET LiveGrid®.
Momento de detección – periodo transcurrido desde que la tecnología ESET LiveGrid® descubrió la aplicación.
NOTA
127
Si una aplicación está marcada como nivel de seguridad desconocido (naranja), no significa necesariamente que
sea software malicioso. Por lo general, solo se trata de una aplicación nueva. Si no está seguro con respecto al
archivo, use la función enviar el archivo para su análisis para enviar el archivo al laboratorio de virus de ESET. Si el
archivo resulta ser una aplicación maliciosa, se agregará su detección en una de las próximas actualizaciones del
motor de búsqueda.
128
3.9.6.9 Conexiones de red
En la sección Conexiones de red, verá una lista de las conexiones activas y pendientes. Sirve para controlar todas las
aplicaciones que establecen conexiones salientes.
La primera línea muestra el nombre de la aplicación y la velocidad de la transferencia de datos. Para ver una lista de
las conexiones establecidas por la aplicación (así como información más detallada), haga clic en +.
Columnas
Aplicación/IP local – nombre de la aplicación, direcciones IP locales y puertos de comunicación.
IP remota – dirección IP y número de puerto del equipo remoto específico.
Protocolo – protocolo de transferencia utilizado.
Aumentar velocidad/Disminuir velocidad – la velocidad actual de los datos salientes y entrantes.
Enviado/Recibido – cantidad de datos intercambiados en la conexión.
Mostrar detalles – elija esta opción para mostrar información detallada sobre la conexión seleccionada.
Seleccione una aplicación o dirección IP en la Pantalla de conexiones de red, y al hacer clic derecho sobre la misma,
se mostrará el menú contextual con la siguiente estructura:
Resolver nombres de host – si es posible, todas las direcciones de red se muestran en el formato de nombre DNS,
no en el formato numérico de dirección IP.
Mostrar solo las conexiones TCP – la lista muestra únicamente las conexiones pertenecientes al grupo de
protocolos TCP.
Mostrar las conexiones de escucha – seleccione esta opción para mostrar únicamente aquellas conexiones para las
que aún no se estableció comunicación alguna, pero para las que el sistema ha abierto un puerto y está esperando
establecer una conexión.
129
Mostrar las conexiones dentro del equipo – seleccione esta opción para mostrar únicamente aquellas conexiones
en las que el lado remoto es un sistema local; es decir, las llamadas conexiones localhost.
Haga un clic derecho en una conexión para ver opciones adicionales, entre las que se incluyen:
Denegar las comunicaciones para la conexión – finaliza la comunicación establecida. Esta opción está disponible
solo luego de hacer clic en una conexión activa.
Actualizar la velocidad – elija la frecuencia para actualizar las conexiones activas.
Actualizar ahora – actualiza la ventana de Conexiones de red.
Las siguientes opciones están disponibles solo luego de hacer clic en una aplicación o proceso, no en una conexión
activa:
Denegar temporalmente las comunicaciones para el proceso – rechaza las conexiones actuales de la aplicación
determinada. Si se establece una nueva conexión, el firewall usa una regla predefinida. Puede encontrar una
descripción de la configuración en la sección Reglas y zonas.
Permitir temporalmente las comunicaciones para el proceso – permite las conexiones actuales de la aplicación
determinada. Si se establece una nueva conexión, el firewall usa una regla predefinida. Puede encontrar una
descripción de la configuración en la sección Reglas y zonas.
NOTA
Antes de enviar una muestra a ESET, asegúrese de que cumpla con uno o más de los siguientes criterios:
· el programa directamente no detecta el archivo o el sitio Web
· el archivo o el sitio web se detectan erróneamente como una amenaza
No recibirá una respuesta a menos que se requiera más información para el análisis.
Seleccione la descripción del menú desplegable Motivo por el cual se envía la muestra que mejor se adapte a su
mensaje:
· Archivo sospechoso
· Sitio sospechoso (un sitio web que se encuentra infectado por algún malware),
· Archivo falso positivo (un archivo que se detecta como una infección pero no está infectado),
· Sitio falso positivo
· Otros
130
3.9.6.11 Notificaciones por correo electrónico
ESET Endpoint Security puede enviar automáticamente correos electrónicos de notificación si ocurre un suceso con
el nivel de detalle de los sucesos seleccionado. Habilite Enviar notificaciones de sucesos por correo electrónico para
activar las notificaciones por correo electrónico.
Servidor SMTP
Servidor SMTP – el servidor SMTP utilizado para enviar notificaciones (por ej. smtp.provider.com:587, el puerto
predeterminado es 25).
NOTA
Los servidores SMTP con cifrado TLS son admitidos por ESET Endpoint Security.
Nombre de usuario y contraseña – si el servidor SMTP requiere autenticación, se deben completar estos campos
con un nombre de usuario y una contraseña válidos para acceder al servidor SMTP.
Dirección del remitente – este campo especifica la dirección del remitente que se mostrará en el encabezado de
los correos electrónicos de notificación.
Direcciones del destinatario – este campo especifica la dirección del destinatario que se mostrará en el
encabezado de los correos electrónicos de notificación. Use punto y coma “;” para separar varias direcciones de
correo electrónico.
131
En el menú desplegable Nivel de detalle mínimo para las notificaciones, puede seleccionar el nivel de gravedad a
partir del cual se enviarán las notificaciones.
· Diagnóstico – registra la información necesaria para ajustar el programa y todos los historiales antes
mencionados.
· Informativo – registra los mensajes de información, como los eventos de red no estándar, que incluyen los
mensajes de actualizaciones correctas, y todos los registros antes mencionados.
· Advertencias – registra los errores críticos y los mensajes de advertencia (Antistealth no se está ejecutando de
forma adecuada o hubo un error en la actualización).
· Errores – se registrarán los errores (no se inició la protección de documentos) y los errores críticos.
· Crítico – registra solo los errores críticos, como error al iniciar la protección antivirus o sistema infectado.
Habilitar TLS – habilita el envío de mensajes de alerta y notificación admitidos por el cifrado TLS.
Intervalo luego del cual se enviarán correos electrónicos de notificación nuevos (min.) – intervalo en minutos
luego del cual se enviarán notificaciones nuevas al correo electrónico. Si establece este valor en 0, las
notificaciones se enviarán inmediatamente.
Enviar cada notificación en un correo electrónico por separado – cuando se habilite, el destinatario recibirá un
correo electrónico nuevo por cada notificación individual. Esto puede dar como resultado un gran número de
correos electrónicos recibidos en un corto periodo de tiempo.
Formato de mensajes
Las comunicaciones entre el programa y el usuario remoto o el administrador del sistema se llevan a cabo por
medio de los correos electrónicos o los mensajes de la LAN (mediante el servicio de mensajería de Windows). El
formato predeterminado de las notificaciones y los mensajes de alerta será óptimo para la mayoría de las
situaciones. En ciertas circunstancias, es posible que necesite cambiar el formato de los mensajes de sucesos.
Formato de mensajes de sucesos – formato de los mensajes de sucesos que se muestran en los equipos remotos.
Formato de mensajes de advertencias sobre amenazas – los mensajes de alerta y notificación de amenazas tienen
un formato predeterminado predefinido. No es recomendable modificar dicho formato. No obstante, en ciertas
circunstancias (por ejemplo, si tiene un sistema automatizado de procesamiento de correo electrónico), es
posible que necesite modificar el formato de los mensajes.
Conjunto de caracteres: convierte un mensaje de correo electrónico en una codificación de caracteres ANSI en
base a la configuración regional de Windows (por ejemplo, windows-1250), ACSII de 7 bit (por ejemplo, se
cambiará “ä” por “á” y un símbolo desconocido ”?”) o japonés (ISO-2022-JP).
Usar la codificación de Entrecomillado imprimible: el origen del mensaje de correo electrónico se codificará en el
formato Entrecomillado imprimible (QP) que usa los caracteres de ASCII y puede transmitir correctamente los
caracteres nacionales especiales por correo electrónico en el formato de 8 bits (áéíóú).
Las palabras clave (cadenas separadas por signos %) se reemplazan en el mensaje por la información real
especificada. Se encuentran disponibles las siguientes palabras clave:
· %ComputerName% : nombre del equipo en el que se produjo la alerta.
· %ProgramName% : programa que generó la alerta.
· %TimeStamp% : la fecha y la hora del suceso.
· %UserName%: nombre del usuario registrado en el que se produjo la alerta.
· %InfectedObject% : nombre del archivo, mensaje, etc., infectado.
· %VirusName% : identificación de la infección.
· %ErrorDescription% - descripción de un suceso no causado por un virus.
· %Scanner% : módulo afectado.
· %Action% - Acción realizada durante la infiltración.
Las palabras clave %InfectedObject% y %VirusName% solo se usan en los mensajes de advertencia sobre
amenazas, y %ErrorDescription% solo se usa en mensajes de sucesos.
132
3.9.6.12 Cuarentena
La función principal de la cuarentena consiste en almacenar los archivos infectados en forma segura. Los archivos
deben ponerse en cuarentena cuando no se pueden limpiar, cuando no es seguro o recomendable eliminarlos o en
caso de que ESET Endpoint Security los esté detectado erróneamente.
Puede elegir poner cualquier archivo en cuarentena. Esta acción es recomendable cuando un archivo se comporta
de manera sospechosa pero la exploración antivirus no lo detecta. Los archivos en cuarentena se pueden enviar para
su análisis al laboratorio de virus de ESET.
Los archivos almacenados en la carpeta de cuarentena pueden visualizarse en una tabla que muestra la fecha y la
hora en que se pusieron en cuarentena, la ruta a la ubicación original de los archivos infectados, su tamaño en bytes,
el motivo (por ejemplo, objeto agregado por el usuario) y la cantidad de amenazas (por ejemplo, si se trata de un
archivo comprimido que contiene varias infiltraciones).
133
Eliminar de la Cuarentena – haga clic con el botón secundario en un elemento determinado y seleccione Eliminar de
la Cuarentena, o seleccione el elemento que desea eliminar y presione Eliminar en su teclado. También puede
seleccionar varios elementos y eliminarlos todos juntos.
NOTA
Si el programa puso en cuarentena un archivo inofensivo por error, excluya el archivo de la exploración después
de restablecerlo, y envíelo a Atención al cliente de ESET.
Haga clic en Aceptar para guardar los cambios. La ventana de actualizaciones del sistema se mostrará después de la
verificación del estado con el servidor de actualización. En consecuencia, es posible que la información de
actualización del sistema no esté disponible de inmediato después de guardar los cambios.
IMPORTANTE
134
Para utilizar comandos ecmd avanzados, necesita ejecutarlos con privilegios de administrador o bien abrir el
Símbolo del sistema de Windows (cmd) mediante Ejecutar como administrador. Caso contrario, obtendrá el
mensaje Error executing command.. Además, al momento de exportar la configuración, debe existir una carpeta
de destino.
NOTA
Los comandos ecmd avanzados solo pueden ejecutarse localmente. Ejecutar una tarea de cliente Ejecutar
comando mediante ERA no funcionará.
EJEMPLO
Exportar comando de configuración:
ecmd /getcfg c:\config\settings.xml
135
3.9.7.1 Elementos de la interfaz del usuario
Las opciones de configuración de la interfaz del usuario en ESET Endpoint Security permiten ajustar el entorno de
trabajo conforme a sus necesidades. Puede acceder a estas opciones de configuración en la sección Interfaz del
usuario > Elementos de la interfaz del usuario en el árbol de Configuración avanzada de ESET Endpoint Security.
En la sección Elementos de la interfaz del usuario, puede ajustar el entorno de trabajo. Use el menú desplegable
Modo de inicio para seleccionar alguno de los siguientes modos de inicio de la Interfaz de usuario gráfica (GUI):
Completo – se mostrará la GUI completa.
Mínimo – la GUI no está disponible, únicamente se muestran las notificaciones al usuario.
Manual – no se mostrará notificación o alerta alguna.
Silencioso – no se mostrará la GUI, ni notificación o alerta alguna. Este modo puede ser útil en situaciones en las que
necesita preservar los recursos del sistema. Solo el Administrador puede iniciar el modo silencioso.
NOTA
Una vez que se selecciona el modo de inicio de GUI Mínimo y su equipo se reinicia, se mostrarán las
notificaciones, pero la interfaz gráfica no. Para volver al modo de interfaz de usuario gráfica completo, ejecute la
GUI desde el menú Inicio en Todos los programas > ESET > ESET Endpoint Securitycomo administrador, o puede
hacerlo mediante ESET Remote Administrator con una política.
Si desea desactivar la pantalla de bienvenida de ESET Endpoint Security, quite la selección Mostrar la pantalla de
bienvenida al iniciar el programa.
Para que ESET Endpoint Security reproduzca un sonido cuando ocurren sucesos importantes durante una exploración
como, por ejemplo, cuando se descubre una amenaza o cuando finaliza la exploración, seleccione Usar señal sonora.
Integrar en el menú contextual – integrar los elementos de control de ESET Endpoint Security al menú contextual.
Estados
Estados de aplicaciones – haga clic en el botón Editar para administrar (deshabilitar) los estados que se muestran
en el panel Estado de protección en el menú principal.
Información de licencias
Mostrar información de licencias – cuando está deshabilitada, no se mostrará la información de licencia en la
pantalla Estado de protección y Ayuda y soporte.
Mostrar mensajes y notificaciones de licencia – cuando están deshabilitados, las notificaciones y los mensajes
solo se mostrarán cuando la licencia expire.
NOTA
La configuración de información de licencia se aplica pero no está accesible para ESET Endpoint Security
activado con licencia MSP.
136
137
3.9.7.2 Configuración del acceso
Para proporcionarle a su sistema la máxima seguridad, es esencial que ESET Endpoint Security esté configurado
correctamente. Cualquier cambio no calificado puede provocar la pérdida de datos importantes. Para evitar las
modificaciones no autorizadas, los parámetros de configuración de ESET Endpoint Security pueden protegerse con
una contraseña. Las opciones de configuración para la protección por contraseña se encuentran en Configuración
avanzada (F5) en Interfaz de usuario > Configuración de acceso.
Configuración de la protección por contraseña – indique la configuración de la contraseña. Haga clic para abrir la
ventana de Configuración de la contraseña.
Si desea establecer o modificar una contraseña para proteger los parámetros de configuración, haga clic en
Establecer.
Exigir derechos completos de administrador para cuentas de administrador limitadas – deje esta opción activa para
solicitarle al usuario actual (si no dispone de derechos de administrador) que introduzca el nombre de usuario y la
contraseña de administrador cuando modifique determinados parámetros del sistema (similar a UAC en Windows
Vista). Entre dichas modificaciones, se incluye la desactivación de los módulos de protección y del Firewall.
Únicamente para Windows XP:
Exigir derechos de administrador (sistema sin soporte UAC) – habilite esta opción para que ESET Endpoint Security
solicite las credenciales de administrador.
138
3.9.7.3 Alertas y notificaciones
La sección Alertas y notificaciones en Interfaz del usuario le permite configurar cómo ESET Endpoint Security
gestionará las alertas ante amenazas y las notificaciones del sistema (por ejemplo, mensajes sobre actualizaciones
correctas). También puede establecer el tiempo de visualización y la transparencia de las notificaciones en la
bandeja del sistema (esto solo se aplica en los sistemas que son compatibles con las notificaciones en la bandeja del
sistema).
Ventanas de alerta
Si deshabilita Mostrar alertas, se cancelarán todas las ventanas de alerta, lo que es apropiado únicamente para una
cantidad limitada de situaciones específicas. Para la mayoría de los usuarios, recomendamos dejar esta opción en su
configuración predeterminada (es decir, habilitada).
Notificaciones en el escritorio
Las notificaciones en el escritorio y los globos de sugerencias son solo informativos y no necesitan la interacción con
el usuario. Se muestran en el área de notificaciones en la esquina inferior derecha de la pantalla. Para activar las
notificaciones en el escritorio, seleccione la opción Mostrar notificaciones en el escritorio. Encienda el interruptor
No mostrar las notificaciones al ejecutar aplicaciones en modo de pantalla completa para suprimir todas las
notificaciones no interactivas. A continuación, se pueden modificar opciones más detalladas, como el tiempo de
visualización de las notificaciones y la transparencia de la ventana.
El menú desplegable Cantidad mínima de detalle de eventos para mostrar le permite seleccionar el nivel de
gravedad de las alertas y notificaciones que se mostrarán. Se encuentran disponibles las siguientes opciones:
· Diagnóstico – registra la información necesaria para ajustar el programa y todos los historiales antes mencionados.
· Informativo – registra los mensajes de información, que incluyen los mensajes de actualizaciones correctas, y
todos los historiales antes mencionados.
· Advertencias – registra los errores críticos y los mensajes de advertencia.
· Errores – se registrarán errores tales como “Error al descargar el archivo” y los errores críticos.
· Crítico – registra solo los errores críticos (error al iniciar la protección antivirus, el firewall integrado,etc...).
139
La última característica de esta sección permite configurar el destino de las notificaciones en un entorno con varios
usuarios. El campo En sistemas con varios usuarios, mostrar notificaciones en la pantalla de este usuario especifica
qué usuario recibirá las notificaciones del sistema y otros tipos de notificaciones en sistemas que permiten que se
conecten varios usuarios al mismo tiempo. Normalmente, se tratará de un administrador del sistema o de la red.
Esta opción resulta especialmente útil para servidores de terminal, siempre y cuando todas las notificaciones del
sistema se envíen al administrador.
Cuadros de mensajes
Para cerrar las ventanas emergentes automáticamente después de un período de tiempo determinado, seleccione
Cerrar las casillas de mensajes automáticamente. Si no se cierran manualmente, las ventanas de alerta se cerrarán
en forma automática una vez que transcurra el período especificado.
Mensajes de confirmación – le muestra una lista de mensajes de confirmación que puede seleccionar para que se
muestren o no.
Detener la protección – muestra el cuadro de diálogo de confirmación que deshabilita la Protección antivirus y
antispyware, que protege ante ataques mediante el control de los archivos, las comunicaciones por medio de
Internet y correo electrónico.
140
El menú desplegable Intervalo de tiempo representa el período durante el cual la protección antivirus y antispyware
permanecerá deshabilitada.
Pausar firewall (permitir todo tráfico) – cambia el firewall a un estado inactivo. Consulte Red para obtener más
información.
Bloquear todo el tráfico de red – el firewall bloqueará todo el tráfico de la red y de Internet, tanto saliente como
entrante. Para volver a habilitarlo, haga clic en Detener el bloqueo de todo el tráfico de red.
Configuración avanzada – seleccione esta opción para ingresar en el árbol de Configuración avanzada . También
puede acceder a la Configuración avanzada al presionar la tecla F5 o al ir a Configuración > Configuración avanzada.
Archivos de registro – los archivos de registro contienen información sobre todos los sucesos importantes del
programa que se llevaron a cabo y proporcionan una visión general de las amenazas detectadas.
Ocultar ESET Endpoint Security – se oculta la ventana ESET Endpoint Security de la pantalla.
Restablecer la disposición de la ventana – restablece la ventana de ESET Endpoint Security a su tamaño y posición
predeterminados en la pantalla.
Buscar actualizaciones... – comienza a actualizar los módulos del programa para garantizar su nivel de protección
frente a un código malicioso.
Acerca de – proporciona información del sistema, detalles sobre la versión instalada de ESET Endpoint Security y los
módulos del programa instalados, como así también la fecha de vencimiento de su licencia. La información acerca de
su sistema operativo y recursos del sistema se puede encontrar en la parte inferior de la página.
141
3.10 Usuario avanzado
Actualización
El editor de perfiles en la sección de configuración de la actualización permite a los usuarios crear nuevos perfiles
de actualización. Cree y use sus propios perfiles personalizados (distintos al perfil predeterminado: Mi perfil)
únicamente si su equipo se conecta a los servidores de actualización de varias formas.
Un ejemplo es un equipo portátil que normalmente se conecta a un servidor local (mirror) desde la red local, pero
que descarga las actualizaciones directamente desde los servidores de actualización de ESET cuando se desconecta
de la red local (durante un viaje de negocios) puede usar dos perfiles: el primero para conectarse al servidor local; el
otro para conectarse a los servidores de ESET. Una vez configurados estos perfiles, navegue a Herramientas > Tareas
programadas y edite los parámetros de las tareas de actualización. Designe un perfil como principal y el otro como
secundario.
Actualizar perfil – El perfil de actualización utilizado actualmente. Para cambiarlo, elija un perfil del menú
desplegable.
Lista de perfiles – cree perfiles nuevos o elimine perfiles de actualización existentes.
3.10.2 Diagnósticos
Los diagnósticos proporcionan el volcado de memoria de los procesos de ESET en caso de que se bloquee una
aplicación (por ejemplo, ekrn). Si una aplicación se bloquea, se generará un volcado de memoria. Esto puede ayudar
a los desarrolladores a depurar y reparar diversos problemas de ESET Endpoint Security. Haga clic en el menú
desplegable junto a Tipo de volcado y seleccione una de las tres opciones disponibles:
· Seleccione Deshabilitar (predeterminado) para deshabilitar esta característica.
· Mini: registra el grupo de datos útiles más reducido posible que pueda ayudar a identificar por qué se bloqueó la
aplicación en forma inesperada. Este tipo de archivo de volcado puede ser útil cuando el espacio sea limitado. Sin
embargo, debido a la cantidad limitada de información incluida, es posible que los errores que no se hayan
provocado directamente por el subproceso activo en el momento del problema no se descubran al analizar este
archivo.
· Completo: registra todo el contenido de la memoria del sistema cuando la aplicación se detiene
inesperadamente. Un volcado de memoria completa puede incluir datos de los procesos que estaban activos
cuando se recopiló la memoria de volcado.
142
Habilitar el registro avanzado del Firewall: registra todos los datos de red que pasan a través del firewall en formato
PCAP para ayudar a que los desarrolladores diagnostiquen y corrijan problemas relacionados con el firewall.
Habilitar el registro avanzado del filtrado de protocolos: registra todos los datos que pasan a través del motor de
filtrado de protocolos para ayudar a los desarrolladores a diagnosticar y solucionar problemas relacionados con el
filtrado de protocolos.
Habilitar el registro avanzado del motor de actualización: registra todos los eventos que ocurren durante el proceso
de actualización. Esto puede ayudar a los desarrolladores a diagnosticar y solucionar problemas relacionados con el
motor de actualizaciones.
Habilitar el registro avanzado del control Web: registra todos los eventos que ocurren durante el control parental.
Esto puede ayudar a los desarrolladores a diagnosticar y solucionar problemas relacionados con el control parental.
Habilitar el registro avanzado de licencias: registra todas las comunicaciones del producto con el servidor de
licencias.
Habilitar el registro avanzado del motor Antispam: registra todos los eventos que ocurren durante el análisis
antispam. Esto puede ayudar a los desarrolladores a diagnosticar y corregir problemas relacionados al motor de
Antispam de ESET.
Habilitar el registro avanzado de sistemas operativos: se recopilará información adicional acerca del Sistema
operativo, como los procesos en ejecución, actividad del CPU y operaciones de disco. Esto puede ayudar a los
desarrolladores a diagnosticar y solucionar problemas relacionados con el producto ESET ejecutado en su sistema
operativo.
Se pueden localizar los archivos de registro en:
C:\ProgramData\ESET\ESET Security\Diagnostics\ en Windows Vista y versiones posteriores o C:\Documents and
Settings\All Users\... en versiones anteriores de Windows.
Directorio de destino – ubicación donde se va a generar la volcado de memoria durante el bloqueo.
Abrir carpeta de diagnósticos: haga clic en Abrir para abrir este directorio dentro de una nueva ventana del
Explorador de Windows.
Crear volcado de diagnóstico: haga clic en Crear para crear archivos de volcado de diagnóstico en el Directorio de
destino.
143
Los pasos para exportar una configuración son muy similares. En la ventana principal del programa, haga clic en
Configuración > Importar/Exportar ajustes. Seleccione Exportar configuraciones e ingrese el nombre del archivo de
la configuración (es decir export.xml). Use el botón de exploración para elegir la ubicación en el equipo donde
desea guardar el archivo de configuración.
NOTA
Es probable que encuentre un error mientras exporta las configuraciones, si no tiene suficientes derechos para
escribir el archivo exportado en el directorio especificado.
Se pueden usar los siguientes parámetros y modificadores desde la línea de comandos durante la ejecución del
módulo de exploración bajo demanda:
Opciones
/base-dir=FOLDER cargar módulos desde FOLDER
/quar-dir=FOLDER FOLDER de cuarentena
/exclude=MASK excluir de la exploración los archivos que coinciden con MASK
/subdir explorar las subcarpetas (predeterminado)
/no-subdir no explorar las subcarpetas
/max-subdir-level=LEVEL subnivel máximo de carpetas dentro de las carpetas que se van a explorar
/symlink seguir los vínculos simbólicos (predeterminado)
/no-symlink saltear los vínculos simbólicos
/ads explorar ADS (predeterminado)
/no-ads no explorar ADS
/log-file=FILE registrar salida en FILE
/log-rewrite sobrescribir archivo de salida (predeterminado: añadir)
/log-console registrar resultados en la consola (predeterminado)
/no-log-console no registrar resultados en la consola
144
/log-all también incluir en el registro los archivos no infectados
/no-log-all no registrar los archivos no infectados (predeterminado)
/aind mostrar indicador de actividad
/auto explorar y desinfectar todos los discos locales automáticamente
145
/clean-mode=MODE usar el MODO de desinfección para objetos infectados
Opciones generales
/help mostrar la ayuda y salir
/version mostrar información de la versión y salir
/preserve-time preservar el último acceso con su fecha y hora
Códigos de salida
0 no se detectó ninguna amenaza
1 se detectó una amenaza y se desinfectó
10 algunos archivos no se pudieron explorar (pueden ser amenazas)
50 amenaza detectada
100 error
NOTA
Los códigos de salida mayores que 100 significan que el archivo no se exploró, por lo que puede estar infectado.
Use los interruptores de cada estado correspondiente para habilitar o deshabilitar los desencadenantes de la
detección en estado inactivo.
146
3.10.6 ESET SysInspector
147
3.10.6.2 Interfaz de usuario y uso de la aplicación
Para más claridad, la ventana del programa principal está divida en cuatro secciones principales: controles de
programa ubicados en la parte superior de la ventana del programa principal, ventana de Navegación a la izquierda,
la ventana de Descripción a la derecha y la ventana de Detalles en la parte inferior de la ventana del programa
principal. La sección Estado del registro incluye los parámetros básicos de un registro (filtro utilizado, tipo de filtro,
etc.) e indica si el registro es el resultado de una comparación.
Archivo
Al hacer clic en Archivo, puede guardar el estado actual del sistema para examinarlo más tarde o abrir un registro
guardado anteriormente. Para la publicación, es recomendable que genere un registro Adecuado para su envío. De
esta forma, el registro omite la información confidencial (nombre del usuario actual, nombre del equipo, nombre
del dominio, privilegios del usuario actual, variables de entorno, etc.).
NOTA
Puede abrir los informes de ESET SysInspector almacenados previamente arrastrando y soltándolos en la ventana
del programa principal. Esta funcionalidad no está disponible en el sistema operativo Windows Vista por razones
de seguridad.
Árbol
Le permite expandir o cerrar todos los nodos, y exportar las secciones seleccionadas al script de servicio.
148
Lista
Contiene funciones para una navegación más sencilla por el programa y otras funciones como, por ejemplo, la
búsqueda de información en línea.
Ayuda
Contiene información sobre la aplicación y sus funciones.
Detalle
Esta configuración influye en la información que se muestra en la ventana del programa principal para facilitar el
trabajo con la información. En el modo “Básico” tiene acceso a información utilizada para buscar soluciones a
problemas comunes de su sistema. En el modo “Medio”, el programa muestra detalles menos usados. En el modo
“Completo”, ESET SysInspector muestra toda la información que se necesita para resolver problemas muy
específicos.
Filtrado
Es la mejor opción para buscar entradas de registro o archivos sospechosos en el sistema. Mediante el ajuste del
control deslizante, puede filtrar elementos por su nivel de riesgo. Si el control deslizante se encuentra en el
extremo izquierdo (nivel de riesgo 1), se muestran todos los elementos. Al mover el control deslizante hacia la
derecha, el programa ignora los elementos menos riesgosos que el nivel de riesgo actual y sólo muestra los
elementos que son más sospechosos que el nivel mostrado. Si el control deslizante se encuentra en el extremo
derecho, el programa muestra únicamente los elementos dañinos conocidos.
Todos los elementos como riesgo 6 a 9 pueden poner en riesgo a la seguridad. Si no utiliza una solución de
seguridad de ESET, recomendamos que explore el equipo con ESET Online Scanner si ESET SysInspector encuentra
cualquier elemento. ESET Online Scanner es un servicio gratuito.
NOTA
el nivel de riesgo de un elemento se puede determinar rápidamente comparando el color del elemento con el
color del control deslizante del nivel de riesgo.
Comparar
Al comparar dos registros, puede elegir mostrar todos los elementos, mostrar sólo los elementos agregados,
mostrar sólo elementos eliminados o mostrar sólo los elementos reemplazados.
Buscar
Esta opción se puede utilizar para buscar rápidamente un elemento específico por su nombre o parte del nombre.
Los resultados de la solicitud de búsqueda aparecerán en la ventana de descripción.
Retorno
Al hacer clic en las flechas de atrás o adelante, puede regresar a la información mostrada previamente en la ventana
Descripción. Puede utilizar la tecla retroceso y espaciadora en lugar de hacer clic en atrás y adelante.
Sección de estado
Muestra el nodo actual en la ventana de navegación.
IMPORTANTE
los elementos destacados en rojo son elementos desconocidos, por eso el programa los marca como
potencialmente peligrosos. Que un elemento aparezca marcado en rojo no significa que deba eliminar el
archivo. Antes de eliminarlo, asegúrese de que el archivo es realmente peligroso o innecesario.
149
3.10.6.2.2 Navegación por ESET SysInspector
ESET SysInspector divide los tipos de información en distintas secciones básicas denominadas nodos. Si está
disponible, puede encontrar información adicional expandiendo los subnodos de cada nodo. Para abrir o colapsar
un nodo, haga doble clic en el nombre del nodo o clic en o en junto al nombre del nodo. Cuando examine la
estructura de árbol de nodos y subnodos en la ventana de navegación, puede encontrar información variada de cada
nodo en la ventana de descripción. Si examina los elementos en la ventana de descripción, es posible que se
muestre información adicional de cada uno de los elementos en la ventana de detalles.
A continuación, se encuentran las descripciones de los nodos principales de la ventana de navegación e información
relacionada en las ventanas de descripción y detalles.
Procesos en ejecución
Este nodo contiene información sobre aplicaciones y procesos que se ejecutan al generar el registro. En la ventana
de descripción, puede encontrar información adicional de cada proceso como, por ejemplo, bibliotecas dinámicas
utilizadas por el proceso y su ubicación en el sistema, el nombre del proveedor de la aplicación, el nivel de riesgo
del archivo.
La ventana de detalles contiene información adicional de los elementos seleccionados en la ventana de descripción
como, por ejemplo, el tamaño del archivo o su hash.
NOTA
Un sistema operativo consta de varios componentes de kernel importantes que se ejecutan constantemente y
que proporcionan las funciones básicas y vitales para otras aplicaciones de usuario. En determinados casos,
dichos procesos aparecen en la herramienta ESET SysInspector con una ruta de archivo que comienza por \??\.
Estos símbolos optimizan el inicio previo de esos procesos; son seguros para el sistema.
Conexiones de red
La ventana de descripción contiene una lista de procesos y aplicaciones que se comunican a través de la red
utilizando el protocolo seleccionado en la ventana de navegación (TCP o UDP), así como la dirección remota a la que
se conecta la aplicación. También puede comprobar las direcciones IP de los servidores DNS.
La ventana de detalles contiene información adicional de los elementos seleccionados en la ventana de descripción
como, por ejemplo, el tamaño del archivo o su hash.
Servicios
La ventana de descripción contiene una lista de archivos registrados como Windows Services (Servicios de
Windows). En la ventana de detalles, puede consultar la forma de inicio establecida para el servicio e información
específica del archivo.
Controladores
Una lista de los controladores instalados en el sistema.
Archivos críticos
En la ventana de descripción se muestra el contenido de los archivos críticos relacionados con el sistema operativo
Microsoft Windows.
150
Tareas del programador de tareas del sistema
Contiene una lista de tareas activadas por el programador de tareas de Windows en un momento/intervalo
especificado.
Acerca de
Información acerca de la versión de ESET SysInspector y la lista de módulos del programa.
151
3.10.6.2.2.1 Accesos directos desde teclado
Los accesos directos que se pueden utilizar en ESET SysInspector son:
Archivo
Ctrl+O Abrir el registro existente
Ctrl+S Guardar los registros creados
Generar
Ctrl+G genera una instantánea de estado del equipo estándar
Ctrl+H genera una instantánea de estado del equipo que además puede registrar información confidencial
Filtrado de elementos
1, O Seguro, se muestran los elementos que tienen un nivel de riesgo de 1 a 9.
2 Seguro, se muestran los elementos que tienen un nivel de riesgo de 2 a 9.
3 Seguro, se muestran los elementos que tienen un nivel de riesgo de 3 a 9.
4, U Desconocido, se muestran los elementos que tienen un nivel de riesgo de 4 a 9.
5 Desconocido, se muestran los elementos que tienen un nivel de riesgo de 5 a 9.
6 Desconocido, se muestran los elementos que tienen un nivel de riesgo de 6 a 9.
7, B Peligroso, se muestran los elementos que tienen un nivel de riesgo de 7 a 9.
8 Peligroso, se muestran los elementos que tienen un nivel de riesgo de 8 a 9.
9 Peligroso, se muestran los elementos que tienen un nivel de riesgo de 9.
- Disminuir el nivel de riesgo
+ Aumentar el nivel de riesgo
Ctrl+9 Modo de filtrado, mismo nivel o superior
Ctrl+0 Modo de filtrado, sólo mismo nivel
Ver
Ctrl+5 Ver por proveedor, todos los proveedores
Ctrl+6 Ver por proveedor, sólo Microsoft
Ctrl+7 Ver por proveedor, resto de proveedores
Ctrl+3 Mostrar todos los detalles
Ctrl+2 Mostrar la mitad de los detalles
Ctrl+1 Visualización básica
Retroceso Volver un paso atrás
Espacio Continuar con el paso siguiente
Ctrl+W Expandir el árbol
Ctrl+Q Contraer el árbol
Otros controles
Ctrl+T Ir a la ubicación original del elemento tras seleccionarlo en los resultados de búsqueda
Ctrl+P Mostrar la información básica de un elemento
Ctrl+A Mostrar la información completa de un elemento
Ctrl+C Copiar el árbol del elemento actual
Ctrl+X Copiar elementos
Ctrl+B Buscar información en Internet acerca de los archivos seleccionados
Ctrl+L Abrir la carpeta en la que se encuentra el archivo seleccionado
Ctrl+R Abrir la entrada correspondiente en el editor de registros
Ctrl+Z Copiar una ruta de acceso a un archivo (si el elemento está asociado a un archivo)
Ctrl+F Activar el campo de búsqueda
Ctrl+D Cerrar los resultados de búsqueda
Ctrl+E Ejecutar el script de servicio
Comparación
Ctrl+Alt+O Abrir el registro original/comparativo
152
Ctrl+Alt+R Cancelar la comparación
Ctrl+Alt+1 Mostrar todos los elementos
Ctrl+Alt+2 Mostrar sólo los elementos agregados, el registro incluirá los elementos presentes en el registro
actual
Ctrl+Alt+3 Mostrar sólo los elementos eliminados, el registro incluirá los elementos presentes en el registro
anterior
Ctrl+Alt+4 Mostrar sólo los elementos sustituidos (archivos incluidos)
Ctrl+Alt+5 Mostrar sólo las diferencias entre los registros
Ctrl+Alt+C Mostrar la comparación
Ctrl+Alt+N Mostrar el registro actual
Ctrl+Alt+P Abrir el registro anterior
Varios
F1 Ver la Ayuda
Alt+F4 Cerrar el programa
Alt+Mayús+F4 Cerrar el programa sin preguntar
Ctrl+I Estadísticas del registro
3.10.6.2.3 Comparar
La característica Comparar permite al usuario comparar dos registros existentes. El resultado es un conjunto de
elementos no comunes a ambos registros. Es adecuado si desea hacer un seguimiento de los cambios en el sistema,
una herramienta útil para detectar códigos malintencionados.
Una vez iniciada, la aplicación crea un nuevo registro, que aparecerá en una ventana nueva. Haga clic en Archivo >
Guardar registro para guardar un registro en un archivo. Los archivos de registro se pueden abrir y ver
posteriormente. Para abrir un registro existente, haga clic en Archivo > Abrir registro. En la ventana principal del
programa, ESET SysInspector muestra siempre un registro a la vez.
El beneficio de comparar dos registros es que puede visualizar un registro activo actual y un registro guardado en un
archivo. Para comparar los registros, haga clic en Archivo > Comparar registro y elija Seleccionar archivo. El registro
seleccionado se comparará con el registro activo en la ventana principal del programa. El registro comparativo
mostrará solo las diferencias entre estos dos registros.
NOTA
Si compara dos archivos de registro, haga clic en Archivo > Guardar registro para guardarlo como un archivo ZIP; se
guardarán los dos archivos. Si abre posteriormente dicho archivo, se compararán automáticamente los registros
que contiene.
Junto a los elementos mostrados, ESET SysInspector muestra símbolos que identifican las diferencias entre los
registros comparados.
Descripción de todos los símbolos que pueden aparecer junto a los elementos:
· Nuevo valor que no se encuentra en el registro anterior.
· La sección de estructura de árbol contiene nuevos valores.
· Valor eliminado que sólo se encuentra en el registro anterior.
· La sección de estructura de árbol contiene valores eliminados.
· Se ha cambiado un valor o archivo.
· La sección de estructura de árbol contiene valores o archivos modificados.
· Ha disminuido el nivel de riesgo o era superior en el registro anterior.
· Ha aumentado el nivel de riesgo o era inferior en el registro anterior.
La explicación que aparece en la esquina inferior izquierda describe todos los símbolos y muestra los nombres de
los registros que se están comparando.
153
Se puede guardar cualquier registro comparativo en un archivo y abrirlo posteriormente.
Ejemplo
Genere y guarde un registro, en el que se recopile información original sobre el sistema, en un archivo con el
nombre “previo.xml”. Tras realizar los cambios en el sistema, abra ESET SysInspector y permita que genere un nuevo
registro. Guárdelo en un archivo con el nombre actual.xml.
Para hacer un seguimiento de cambios entre aquellos dos registros, haga clic en Archivo > Comparar registros. El
programa creará un registro comparativo con las diferencias entre ambos registros.
Se puede lograr el mismo resultado si utiliza la siguiente opción de la línea de comandos:
SysIsnpector.exe actual.xml previo.xml
Ejemplos
Uso:
SysInspector.exe [load.xml] [/gen=save.xml] [/privacy] [/zip] [compareto.xml]
154
3.10.6.4 Script de servicio
El script de servicio es una herramienta que proporciona ayuda a los clientes que usan ESET SysInspector mediante
la eliminación fácil de objetos no deseados del sistema.
El script de servicio permite al usuario exportar el registro completo de ESET SysInspector o únicamente las partes
seleccionadas. Tras la exportación, puede marcar los objetos que desee eliminar. A continuación, puede ejecutar el
registro modificado para eliminar los objetos marcados.
El script de servicio es útil para usuarios avanzados con experiencia previa en el diagnóstico de problemas del
sistema. Las modificaciones no calificadas pueden resultar en daños al sistema operativo.
Ejemplo
Si sospecha que su equipo está infectado con un virus que su programa antivirus no detecta, siga las instrucciones
paso a paso a continuación:
1. Ejecute ESET SysInspector para generar una nueva instantánea del sistema.
2. Seleccione el primer elemento de la sección que se encuentra a la izquierda (en la estructura de árbol), pulse
Shift y seleccione el último elemento para marcarlos todos.
3. Haga clic con el botón derecho en los objetos seleccionados y seleccione Exportar las secciones seleccionadas al
script de servicio.
4. Los objetos seleccionados se exportarán a un nuevo registro.
5. Este es el paso más importante de todo el procedimiento: abra el registro nuevo y cambie el atributo - a + para
todos los objetos que desee eliminar. Asegúrese de no marcar archivos/objetos importantes del sistema
operativo.
6. Abra ESET SysInspector, haga clic en Archivo > Ejecutar el script de servicio e introduzca la ruta del script.
7. Haga clic en Aceptar para ejecutar el script.
155
Ejemplo:
01) Running processes:
- \SystemRoot\System32\smss.exe *4725*
- C:\Windows\system32\svchost.exe *FD08*
+ C:\Windows\system32\module32.exe *CF8A*
[...]
En este ejemplo se ha seleccionado (marcado con el carácter “+”) el proceso module32.exe, que finalizará al
ejecutar el script.
En este ejemplo, se marcó el módulo khbekhb.dll con el signo “+”. Cuando se ejecute, el script reconocerá los
procesos mediante el módulo específico y los finalizará.
Cuando se ejecute, el script localizará al propietario del socket en las conexiones TCP marcadas y detendrá el socket,
liberando así recursos del sistema.
Cuando se ejecute, el script aislará al propietario del socket en los puntos finales UDP marcados y detendrá el
socket.
156
Ejemplo:
05) DNS server entries:
+ 204.74.105.85
- 172.16.152.2
[...]
Cuando se ejecute el script, las entradas marcadas se eliminarán, reducirán a valores de 0 bytes o restablecerán en
sus valores predeterminados. La acción realizada en cada entrada depende de su categoría y del valor de la clave en
el registro específico.
Los servicios marcados y los servicios dependientes se detendrán y se desinstalarán cuando el script se ejecute.
Al ejecutar el script, los controladores seleccionados se detendrán. Tenga en cuenta que algunos controladores no
permiten ser detenidos.
157
Ejemplo:
09) Critical files:
* File: win.ini
- [fonts]
- [extensions]
- [files]
- MAPI=1
[...]
* File: system.ini
- [386Enh]
- woafont=dosapp.fon
- EGA80WOA.FON=EGA80WOA.FON
[...]
* File: hosts
- 127.0.0.1 localhost
- ::1 localhost
[...]
158
¿Existe alguna especificación disponible para el formato del archivo de registro? ¿Y algún conjunto de herramientas
para el desarrollo de aplicaciones (SDK)?
Actualmente, no se encuentra disponible ninguna especificación para el formato del archivo de registro, ni un
conjunto de herramientas de programación, ya que la aplicación se encuentra aún en fase de desarrollo. Una vez
que se haya lanzado, podremos proporcionar estos elementos en función de la demanda y los comentarios por
parte de los clientes.
¿El nivel de riesgo “6: desconocido (en color rojo)”, significa que un objeto es peligroso?
Las evaluaciones de ESET SysInspector no garantizan que un objeto sea malicioso. Esta determinación deberá
confirmarla un experto en seguridad informática. ESET SysInspector está diseñado para proporcionar una guía rápida
a estos expertos, con la finalidad de que conozcan los objetos que deberían examinar en un sistema en busca de
algún comportamiento inusual.
¿Por qué a veces hay archivos con la marca “Firmado por MS” que, al mismo tiempo, tienen una entrada de
“Nombre de compañía” diferente?
Al intentar identificar la firma digital de un archivo ejecutable, ESET SysInspector comprueba en primer lugar si el
archivo contiene una firma digital integrada. Si se encuentra una firma digital, se validará el archivo usando dicha
información. Si no se encuentra una firma digital, ESI comienza a buscar el correspondiente archivo CAT (Catálogo de
seguridad - %systemroot%\system32\catroot) que contiene información acerca del archivo ejecutable procesado. Si
el archivo CAT no se encuentra, la firma digital de dicho archivo CAT será la que se aplique en el proceso de
validación del archivo ejecutable.
Esa es la razón por la cual a veces hay archivos marcados como “Firmado por MS”, pero que tienen una entrada
“Nombre de compañía” diferente.
159
3.10.6.6 ESET SysInspector como parte de ESET Endpoint Security
Para abrir la sección ESET SysInspector en ESET Endpoint Security, haga clic en Herramientas > ESET SysInspector. El
sistema de administración de la ventana de ESET SysInspector es parecido al de los registros de exploración del
equipo o las tareas programadas. Se puede obtener acceso a todas las operaciones con instantáneas del sistema
(como crear, ver, comparar, eliminar y exportar) con tan sólo un par de clics.
La ventana de ESET SysInspector contiene información básica acerca de las instantáneas creadas como, por ejemplo,
la hora de creación, un breve comentario, el nombre del usuario que ha creado la captura y el estado de la misma.
Para comparar, crear o eliminar instantáneas, utilice los botones correspondientes ubicados debajo de la lista de
instantáneas de la ventana de ESET SysInspector. Estas opciones también están disponibles en el menú contextual.
Para visualizar la instantánea del sistema seleccionada, seleccione Mostrar en el menú contextual. Para exportar la
instantánea seleccionada a un archivo, haga clic con el botón secundario en ella y seleccione Exportar....
A continuación, se muestra una descripción detallada de las opciones disponibles:
· Comparar: le permite comparar dos registros existentes. Esta opción es ideal para realizar un seguimiento de los
cambios entre el registro actual y el anterior. Para poder aplicar esta opción, debe seleccionar dos instantáneas
con el fin de compararlas.
· Crear...: le permite crear un nuevo registro. Debe introducir antes un breve comentario acerca del registro. Para
obtener información sobre el progreso del proceso de creación de la instantánea (de la instantánea que se ha
generado en ese momento), consulte la columna Estado. Todas las instantáneas completadas aparecen marcadas
con el estado Creada.
· Eliminar/Eliminar todo: quita las entradas de la lista.
· Exportar...: guarda la entrada seleccionada en un archivo XML (y también en una versión comprimida).
The default ESET Endpoint Security installation contains file ermm.exe located in the Endpoint application directory
(default path c:\Program Files\ESET\ESET Security ). ermm.exe exchanges data with the RMM Plugin, which
communicates with the RMM Agent that is linked to an RMM Server.
· ermm.exe – command line utility developed by ESET that allows managing of Endpoint products and
communication with any RMM Plugin.
160
3.10.7.1 Línea de comandos RMM
Remote monitoring management is run using the command line interface. The default ESET Endpoint Security
installation contains the file ermm.exe located in the Endpoint application within the directory c:\Program
Files\ESET\ESET Security.
Run the Command Prompt (cmd.exe) as an Administrator and navigate to the mentioned path. (To open Command
Prompt, press Windows button + R on your keyboard, type a cmd.exe into the Run window and press Enter.)
The command syntax is: ermm context command [options]
ermm.exe uses three basic contexts: Get, Start and Set. In the table below you can find examples of commands
syntax. Click the link in the Command column to see the further options, parameters, and usage examples. After
successful execution of command, the output part (result) will be displayed. To see an input part, add parameter --
debug at the of the command.
161
Context Command Description
información de la aplicación Get information about product
Información de licencia Get information about license
estado de protección Get protection status
registros Get logs
información de exploración Get information about running scan
configuración Get product configuration
Estado de la actualización Get information about update
estado de activación Get information about last activation
start Start task
Exploración Start on demand scan
activación Start activation of product
desactivación Start deactivation of product
actualización Start update of product
set Set options for product
configuración Set configuration to product
In the output result of every command, the first information displayed is result ID. To understand better the result
information, check the table of IDs below.
Error ID Error Description
0 Success
1 Command node not present "Command" node not present in input
json
2 Command not supported Particular command is not supported
3 General error executing the command Error during execution of command
4 Task already running Requested task is already running and
has not been started
5 Invalid parameter for command Bad user input
6 Command not executed because it's RMM isn't enabled in advanced
disabled settings or isn't started as an
administrator
162
3.10.7.2 Lista de los comandos JSON
· Obtener estado de protección
· Obtener información de la aplicación
· Obtener información de licencia
· Obtener registros
· Obtener estado de activación
· Obtener información de la exploración
· Obtener configuración
· Obtener estado de actualización
· Comenzar exploración
· Comenzar activación
· Comenzar desactivación
· Comenzar actualización
· Establecer configuración
Command line
ermm.exe get protection-status
Parameters
None
Example
call
{
"command":"get_protection_status",
"id":1,
"version":"1"
result
{
"id":1,
"result":{
"statuses":[{
"id":"EkrnNotActivated",
"status":2,
"priority":768,
}],
"status":2,
163
"description":"Security alert"
},
"error":null
Command line
ermm.exe get application-info
Parameters
None
Example
call
{
"command":"get_application_info",
"id":1,
"version":"1"
result
{
"id":1,
"result":{
"version":"6.6.2018.0",
"product":"eea",
"lang_id":1033,
"modules":[{
"id":"SCANNER32",
"description":"Detection engine",
"version":"15117",
"date":"2017-03-20"
},{
"id":"PEGASUS32",
"version":"9734",
"date":"2017-03-20"
164
},{
"id":"LOADER32",
"description":"Update module",
"version":"1009",
"date":"2016-12-05"
},{
"id":"PERSEUS32",
"version":"1513",
"date":"2017-03-06"
},{
"id":"ADVHEUR32",
"version":"1176",
"date":"2017-01-16"
},{
"id":"ARCHIVER32",
"version":"1261",
"date":"2017-02-22"
},{
"id":"CLEANER32",
"description":"Cleaner module",
"version":"1132",
"date":"2017-03-15"
},{
"id":"ANTISTEALTH32",
"version":"1106",
"date":"2016-10-17"
},{
"id":"SYSTEMSTATUS32",
"version":"1266",
"date":"2016-12-22"
},{
"id":"TRANSLATOR32",
"version":"1588B",
"date":"2017-03-01"
},{
"id":"HIPS32",
165
"description":"HIPS support module",
"version":"1267",
"date":"2017-02-16"
},{
"id":"PROTOSCAN32",
"version":"1300",
"date":"2017-03-03"
},{
"id":"DBLITE32",
"description":"Database module",
"version":"1088",
"date":"2017-01-05"
},{
"id":"CONFENG32",
"version":"1496B",
"date":"2017-03-17"
},{
"id":"IRIS32",
"version":"1022",
"date":"2016-04-01"
},{
"id":"SAURON32",
"version":"1006",
"date":"2016-07-15"
},{
"id":"SSL32",
"version":"1009",
"date":"2016-12-02"
},
"error":null
166
3.10.7.2.3 Obtener información de licencia
Get information about the license of the product
Command line
ermm.exe get license-info
Parameters
None
Example
call
{
"command":"get_license_info",
"id":1,
"version":"1"
result
{
"id":1,
"result":{
"type":"NFR",
"expiration_date":"2020-12-31",
"expiration_state":"ok",
"public_id":"3XX-7ED-7XF",
"seat_id":"6f726793-ae95-4e04-8ac3-e6a20bc620bf",
"seat_name":"M"
},
"error":null
Command line
ermm.exe get logs --name warnlog --start-date "2017-04-04 06-00-00" --end-date "2017-04-04 12-00-00"
Parameters
Name Value
167
name { all, virlog, warnlog, scanlog, blocked, hipslog, urllog,
devctrllog } : log to retrieve
start-date start date from which logs should be retrieved (YYYY-MM-
DD [HH-mm-SS])
end-date end time until which logs should be retrieved (YYYY-MM-
DD [HH-mm-SS])
Example
call
{
"command":"get_logs",
"id":1,
"version":"1",
"params":{
"name":"warnlog",
"start_date":"2017-04-04 06-00-00",
"end_date":"2017-04-04 12-00-00"
result
{
"id":1,
"result":{
"warnlog":{
"display_name":"Events",
"logs":[{
"Time":"2017-04-04 06-05-59",
"Severity":"Info",
"PluginId":"ESET Kernel",
"UserData":""
},{
"Time":"2017-04-04 11-12-59",
"Severity":"Info",
"PluginId":"ESET Kernel",
"UserData":""
}]
},
168
"error":null
Command line
ermm.exe get activation-status
Parameters
None
Example
call
{
"command":"get_activation_status",
"id":1,
"version":"1"
result
{
"id":1,
"result":{
"status":"success"
},
"error":null
Command line
ermm.exe get scan-info
169
Parameters
None
Example
call
{
"command":"get_scan_info",
"id":1,
"version":"1"
result
{
"id":1,
"result":{
"scan-info":{
"scans":[{
"scan_id":65536,
"timestamp":272,
"state":"finished",
"pause_scheduled_allowed":false,
"pause_time_remain":0,
"start_time":"2017-06-20T12:20:33Z",
"elapsed_tickcount":328,
"exit_code":0,
"progress_filename":"Operating memory",
"progress_arch_filename":"",
"total_object_count":268,
"infected_object_count":0,
"cleaned_object_count":0,
"log_timestamp":268,
"log_count":0,
"log_path":"C:\\ProgramData\\ESET\\ESET Security\\Logs\\eScan\\ndl31494.dat",
"username":"test-PC\\test",
"process_id":3616,
"thread_id":3992,
"task_type":2
}],
"pause_scheduled_active":false
},
170
"error":null
Command line
ermm.exe get configuration --file C:\tmp\conf.xml --format xml
Parameters
Name Value
file the path where the configuration file will be saved
format format of configuration: json, xml. Default format is xml
Example
call
{
"command":"get_configuration",
"id":1,
"version":"1",
"params":{
"format":"xml",
"file":"C:\\tmp\\conf.xml"
result
{
"id":1,
"result":{
"configuration":"PD94bWwgdmVyc2lvbj0iMS4w=="
},
"error":null
171
3.10.7.2.8 Obtener estado de actualización
Get information about the update. Result of status may be { success, error }
Command line
ermm.exe get update-status
Parameters
None
Example
call
{
"command":"get_update_status",
"id":1,
"version":"1"
result
{
"id":1,
"result":{
"last_update_time":"2017-06-20 13-21-37",
"last_update_result":"error",
"last_successful_update_time":"2017-06-20 11-21-45"
},
"error":null
172
3.10.7.2.9 Comenzar exploración
Start scan with the product
Command line
ermm.exe start scan --profile "profile name" --target "path"
Parameters
Name Value
profile Profile name of On-demand computer scan defined in
product
target Path to be scanned
Example
call
{
"command":"start_scan",
"id":1,
"version":"1",
"params":{
"profile":"Smart scan",
"target":"c:\\"
result
{
"id":1,
"result":{
"task_id":458752
},
"error":null
173
3.10.7.2.10 Comenzar activación
Start activation of product
Command line
ermm.exe start activation --key "activation key" | --offline "path to offline file" | --token "activation to
Parameters
Name Value
key Activation key
offline Path to offline file
token Activation token
Example
call
{
"command":"start_activation",
"id":1,
"version":"1",
"params":{
"key":"XXXX-XXXX-XXXX-XXXX-XXXX"
result
{
"id":1,
"result":{
},
"error":null
174
3.10.7.2.11 Comenzar desactivación
Start deactivation of the product
Command line
ermm.exe start deactivation
Parameters
None
Example
call
{
"command":"start_deactivation",
"id":1,
"version":"1"
result
{
"id":1,
"result":{
},
"error":null
Command line
ermm.exe start update
Parameters
None
Example
call
{
"command":"start_update",
"id":1,
175
"version":"1"
result
{
"id":1,
"result":{
},
"error":{
"id":4,
Command line
ermm.exe set configuration --file C:\tmp\conf.xml --format xml --password pass
Parameters
Name Value
file the path where the configuration file will be saved
password password for configuration
value configuration data from the argument (encoded in
base64)
Example
call
{
"command":"set_configuration",
"id":1,
"version":"1",
"params":{
"format":"xml",
"file":"C:\\tmp\\conf.xml",
"password": "pass"
176
result
{
"id":1,
"result":{
},
"error":null
3.11 Glosario
3.11.1.1 Virus
Un virus del equipo es un programa con códigos maliciosos que está adjunto o añadido a los archivos existentes de
su equipo. Se denominaron así por los virus biológicos, ya que usan técnicas similares para propagarse desde un
equipo a otro. El término “virus” se suele utilizar de manera incorrecta para referirse a cualquier tipo de amenaza. El
uso indebido del término se está superando gradualmente y se lo está reemplazando por un término más
apropiado, “malware” (software malicioso).
Los virus informáticos atacan principalmente a los archivos ejecutables y los documentos. En resumen, el virus
informático funciona de esta forma: una vez que se ejecuta el archivo infectado, se llama al código malicioso y se
ejecuta antes que la ejecución de la aplicación original. Un virus puede infectar cualquier archivo para el cual el
usuario actual tenga permisos escritos.
Los virus informáticos pueden variar en su objetivo y gravedad. Algunos son extremadamente peligrosos debido a
su capacidad de eliminar archivos del disco duro en forma deliberada. Por otra parte, algunos virus no provocan
ningún daño: solo sirven para molestar al usuario y demostrar las habilidades técnicas de sus creadores.
Si su equipo está infectado con un virus y no es posible realizar la desinfección, envíelo al laboratorio de ESET para
examinarlo. En determinados casos, los archivos infectados se pueden modificar hasta tal punto que la limpieza no
es posible y los archivos se deben reemplazar por una copia limpia.
3.11.1.2 Gusanos
Un gusano informático es un programa que contiene códigos maliciosos que atacan a los equipos host y se propagan
a través de la red. La diferencia básica entre un virus y un gusano es que los gusanos tienen la capacidad de
propagarse por sí mismos; no dependen de archivos host (o de sectores de inicio). Los gusanos se propagan a las
direcciones de correo electrónico de la lista de contactos del usuario o aprovechan vulnerabilidades de seguridad en
aplicaciones de red.
Como consecuencia, los gusanos son mucho más viables que los virus informáticos. Debido a la alta disponibilidad
de Internet, pueden propagarse alrededor del mundo en cuestión de horas e incluso minutos después de su
lanzamiento. Esta capacidad de replicarse en forma independiente y rápida los hace más peligrosos que otros tipos
de malware.
Un gusano activado en un sistema puede provocar una serie de inconvenientes: eliminar archivos, afectar
perjudicialmente el rendimiento del sistema o incluso desactivar programas. La naturaleza del gusano informático
le permite servir de “medio de transporte” para otros tipos de infiltraciones.
Si su equipo está infectado con un gusano, se recomienda eliminar los archivos infectados, ya que probablemente
contengan códigos maliciosos.
177
3.11.1.3 Troyanos
Históricamente, los troyanos (caballos de Troya) informáticos se definieron como una clase de amenazas que
intenta pasar por programas útiles y engañar a los usuarios para que los ejecuten.
Debido a que los troyanos son una categoría muy amplia, a menudo se divide en varias subcategorías:
· Descargador –Programas maliciosos con capacidad de descargar otras amenazas desde Internet.
· Lanzador – Programas maliciosos con capacidad de lanzar otros tipos de malware a equipos expuestos.
· Programa de puerta trasera – Programas maliciosos que se comunican con atacantes remotos, permitiéndoles
obtener acceso al equipo y controlarlo.
· Registrador de pulsaciones – (Registrador de pulsaciones de teclas) – es un programa que registra cada pulsación
que el usuario hace en el teclado y envía la información a atacantes remotos.
· Marcador – programas maliciosos diseñados para conectar el equipo a números con tarifas más elevadas de lo
normal en lugar de hacerlo con el proveedor de servicios de Internet del usuario. Resulta casi imposible que el
usuario advierta que se creó una nueva conexión. Los marcadores solo pueden perjudicar a los usuarios que se
conectan a Internet a través de un módem de discado telefónico, lo que está dejando de ser habitual.
Si un archivo de su equipo es identificado como un Troyano, se aconseja eliminarlo, ya que lo más probable es que
no contenga más que códigos maliciosos.
3.11.1.4 Rootkits
Los rootkits son programas maliciosos que les garantizan a los atacantes por Internet acceso ilimitado a un sistema, a
la vez que ocultan su presencia. Después de acceder a un sistema (en general luego de aprovecharse de una
vulnerabilidad de un sistema), los rootkits usan funciones del sistema operativo para evitar ser detectados por el
software antivirus: ocultan procesos, archivos y datos del registro de Windows. Por esa razón, es casi imposible
detectarlos por medio de técnicas comunes de evaluación.
Existen dos niveles de detección para prevenir rootkits:
1. Cuando intentan acceder a un sistema: Todavía no están presentes, por lo tanto están inactivos. La mayoría de los
sistemas antivirus pueden eliminar rootkits en este nivel (suponiendo que realmente detectan dichos archivos
como infectados).
2. Cuando se ocultan de la evaluación común: ESET Endpoint Security tienen la ventaja de contar con la tecnología
AntiStealth, que también es capaz de detectar y eliminar rootkits activos.
3.11.1.5 Adware
Adware es el término abreviado correspondiente a un programa relacionado con la publicidad. Los programas que
muestran material publicitario se incluyen en esta categoría. Las aplicaciones de adware suelen abrir
automáticamente una nueva ventana emergente con avisos publicitarios en un navegador de Internet o cambian la
página de inicio del navegador. Con frecuencia, el adware forma parte de un paquete junto con programas de
distribución gratuita, lo que les permite a sus creadores cubrir los gastos del desarrollo de las aplicaciones
(normalmente útiles).
El adware no constituye un peligro en sí mismo: solo puede llegar a molestar a los usuarios con las publicidades. El
peligro reside en el hecho de que el adware también puede realizar funciones de seguimiento (al igual que el
spyware).
Si decide usar un producto de distribución gratuita, preste especial atención durante su instalación. Lo más probable
es que el programa de instalación le informe acerca de la instalación de un programa de adware adicional. En
muchas ocasiones se le permitirá cancelar esa opción e instalar el programa sin el adware.
Sin embargo, otros programas no se instalarán sin el adware o sus funciones serán limitadas. Esto significa que el
adware a menudo puede obtener acceso al sistema en forma “legal”, ya que los usuarios dieron su consentimiento
para instalarlo. En este caso, es mejor prevenir que lamentarse luego. Si se detecta un archivo como adware en el
equipo, se recomienda eliminarlo, ya que existe una gran probabilidad de que contenga códigos maliciosos.
178
3.11.1.6 Spyware
Esta categoría abarca todas las aplicaciones que envían información privada sin el consentimiento o el conocimiento
del usuario. El spyware usa funciones de seguimiento para enviar diversos datos estadísticos, tales como una lista
de sitios web visitados, direcciones de correo electrónico de la lista de contactos del usuario o una lista de las
pulsaciones del teclado registradas.
Los creadores del spyware afirman que el propósito de estas técnicas es obtener más información sobre las
necesidades y los intereses de los usuarios, y mejorar la orientación de las publicidades. El problema es que no
existe una clara distinción entre las aplicaciones útiles y las maliciosas, y nadie puede asegurar que la información
recuperada no se usará inadecuadamente. Los datos obtenidos por las aplicaciones spyware pueden contener
códigos de seguridad, números de identificación PIN, números de cuentas bancarias, etc. El spyware suele estar
incluido en un paquete junto a versiones gratuitas de programas del mismo creador con el objetivo de generar
ingresos o como un incentivo para que el usuario luego adquiera el programa. Con frecuencia, se les informa a los
usuarios sobre la presencia del spyware durante la instalación del programa para incentivarlos a reemplazar el
producto por la versión paga, que no incluye spyware.
Algunos ejemplos de productos de distribución gratuita conocidos que incluyen spyware son las aplicaciones de
cliente de redes P2P (redes de pares). Spyfalcon o Spy Sheriff (entre muchas otras) pertenecen a una subcategoría
específica de spyware: aparentan ser programas antispyware, pero en realidad ellos mismos son programas
spyware.
Si se detecta un archivo como spyware en el equipo, se recomienda eliminarlo, ya que existe una gran probabilidad
de que contenga códigos maliciosos.
3.11.1.7 Empaquetadores
Un programa empaquetador es un ejecutable de autoextracción y de tiempo de ejecución que acumula distintos
tipos de malware en un solo paquete.
Los empaquetadores más comunes son UPX, PE_Compact, PKLite y ASPack. El mismo malware puede detectarse de
manera diferente si se comprime con otro empaquetador. Los empaquetadores tienen la capacidad de hacer mutar
sus “firmas” con el tiempo, lo cual dificulta mucho más la detección y eliminación del malware.
179
3.11.1.9 Aplicaciones potencialmente no deseadas
Una aplicación potencialmente no deseada es un programa que contiene adware, instala barras de herramientas o
tiene otros objetivos que no son claros. Hay algunas situaciones en las que el usuario puede sentir que los
beneficios de una aplicación potencialmente no deseada superan los riesgos. Por este motivo, ESET les asigna a
dichas aplicaciones una categoría de bajo riesgo en comparación con otros tipos de software malicioso, como
troyanos o gusanos.
Cuando se detecte una aplicación potencialmente no deseada y no se pueda desinfectar, se mostrará la ventana de
notificación La dirección ha sido bloqueada en la esquina inferior derecha de la pantalla. Para obtener más
información acerca de este evento, vaya a Herramientas > Archivos de registro > Sitios web filtrados en el menú
principal.
180
Aplicaciones potencialmente no deseadas: configuración
Mientras instala su producto ESET, puede decidir si habilitar la detección de aplicaciones potencialmente no
deseadas como se muestra a continuación:
ADVERTENCIA
Las aplicaciones potencialmente no deseadas pueden instalar adware, barras de herramientas, o contener otras
funciones del programa no deseadas e inseguras.
Esta configuración se puede modificar en la configuración de su programa en cualquier momento. Para habilitar o
deshabilitar la detección de aplicaciones potencialmente no deseadas, inseguras o sospechosas, siga estas
instrucciones:
1. Abra su producto ESET. ¿Cómo abro mi producto ESET?
2. Presione la tecla F5 para acceder a la Configuración avanzada.
3. Haga clic en Antivirus, y habilite o deshabilite las opciones Habilitar la detección de aplicaciones potencialmente
no deseadas, Habilitar la detección de aplicaciones potencialmente no seguras y Habilitar la detección de
aplicaciones sospechosas de acuerdo a sus preferencias. Confirme mediante un clic en Aceptar.
181
Aplicaciones potencialmente no deseadas: contenedores del software
Un contenedor de software es un tipo especial de modificación de aplicaciones utilizado por algunos sitios web de
hosting de archivos. Es una herramienta de terceros que instala el programa que deseaba descargar, pero agrega
software adicional, como barras de herramientas o adware. El software adicional también puede realizar cambios en
la configuración de búsqueda y en la página de inicio de su navegador web. Además, los sitios web de hosting de
archivos con frecuencia no notifican al proveedor del software o al destinatario de la descarga que se han realizado
modificaciones, y no permiten fácilmente la exclusión de las modificaciones. Por estos motivos, ESET clasifica los
contenedores de software como un tipo de aplicación potencialmente no deseada para permitirles a los usuarios
aceptar o rechazar la descarga.
Consulte el siguiente Artículo de la base de conocimiento de ESET para obtener una versión actualizada de esta
página de ayuda.
Para obtener más información, haga clic aquí.
3.11.1.10 Botnet
Un bot, o robot web, es un programa de malware automatizado que explora bloques de direcciones de red e infecta
equipos vulnerables. Este tipo de programa permite a los piratas informáticos tomar control de muchos equipos a la
vez y convertirlos en bots (también conocidos como zombis). Generalmente, los piratas informáticos usan bots para
infectar una gran cantidad de equipos. A este gran grupo de equipos infectados se lo conoce como botnet. Si su
equipo se infecta y se convierte en miembro de un botnet, puede utilizarse en ataques de denegación distribuida
de servicios (DDoS), y también puede utilizarse para realizar tareas automatizadas por Internet, sin que usted lo
sepa (por ejemplo, enviar spam, virus o robar información personal y privada como credenciales de banco o
números de tarjeta de crédito).
182
3.11.2 Tipos de ataques remotos
Existen muchas técnicas especiales que emplean los atacantes para comprometer los sistemas remotos. Se dividen
en varias categorías.
183
3.11.3 Correo electrónico
El correo electrónico (o email) es una forma moderna de comunicación que tiene muchas ventajas. Es flexible,
rápido y directo, y desempeñó un papel crucial en la proliferación de Internet a principios de la década de 1990.
Lamentablemente, debido a su alto grado de anonimato, el correo electrónico e Internet dejan un margen para las
actividades ilegales como el envío de spam. El spam incluye avisos no solicitados, mensajes falsos y la proliferación
de software malicioso (o malware). La desventaja y el peligro para el usuario se ven incrementados por el hecho de
que el costo de enviar spam es mínimo y de que los creadores de spam cuentan con muchas herramientas para
obtener nuevas direcciones de correo electrónico. Por otro lado, el volumen y la diversidad del spam lo hacen muy
difícil de controlar. Cuanto más se use una dirección de correo electrónico, hay más probabilidades de que termine
en la base de datos de un motor de spam. Algunos consejos para la prevención:
· Si es posible, no publique su dirección de correo electrónico en Internet.
· Solo dé su dirección de correo electrónico a personas de confianza
· Si es posible, no use alias comunes; con alias más complejos, la probabilidad de seguimiento es menor.
· No conteste los mensajes de spam que ya llegaron a su buzón de entrada.
· Sea precavido al completar formularios de Internet; tenga un cuidado especial con opciones como “Sí, deseo
recibir información”.
· Use direcciones de correo electrónico “especializadas”; por ejemplo, una para el trabajo, otra para comunicarse
con amistades, etc.
· De cuando en cuando, cambie su dirección de correo electrónico
· Use una solución antispam
3.11.3.1 Anuncios
Los anuncios por Internet constituyen una de las formas de publicidad de crecimiento más rápido. Sus principales
ventajas de marketing son los costos mínimos y el alto nivel de direccionamiento; además, los mensajes se
distribuyen casi de inmediato. Muchas empresas usan herramientas de marketing por correo electrónico para
comunicarse en forma efectiva con clientes actuales y potenciales.
Este tipo de publicidad es legítima, ya que el destinatario puede estar interesado en recibir información comercial
sobre ciertos productos. No obstante, muchas empresas envían mensajes comerciales masivos no solicitados. En
esos casos, la publicidad por correo electrónico cruza la línea y se convierte en spam.
La cantidad de correo electrónico no solicitado comenzó a ser un problema y no muestra signos de desacelerar. Los
creadores de los correos electrónicos no solicitados suelen tratar de disfrazar el spam, haciéndolos pasar por
mensajes legítimos.
184
3.11.3.3 Phishing
El término phishing define una actividad criminal que utiliza técnicas de ingeniería social (manipula a los usuarios
para obtener información confidencial). Su propósito es obtener el acceso a datos confidenciales, como números de
cuentas bancarias, códigos de identificación personal, etc.
En general, se logra el acceso mediante el envío de correos electrónicos encubiertos como una persona o empresa
confiable (por ejemplo, una institución financiera, una compañía de seguros). El correo puede parecer realmente
genuino y suele incluir gráficos y contenidos tomados originalmente de la fuente real por la que se hace pasar. Le
solicita al usuario que ingrese, por diversas excusas (verificación de datos, operaciones financieras), ciertos datos
personales, como números de cuentas bancarias, nombres de usuario y contraseñas, etc. Si ingresa estos datos,
pueden ser robados y malversados con facilidad.
Hay que tener en cuenta que los bancos, compañías de seguros y otras empresas legítimas nunca solicitarán
nombres de usuario o contraseñas en un correo electrónico no solicitado.
3.11.3.4.1 Reglas
En el contexto de las soluciones antispam y los clientes de correo electrónico, las reglas son herramientas para
manipular funciones de correo electrónico. Consisten en dos partes lógicas:
1. Condición (por ejemplo, un mensaje entrante de una dirección determinada)
2. Acción (por ej., eliminación del mensaje, moviéndolo a una carpeta específica)
La cantidad y combinación de reglas varía según la solución antispam. Estas reglas sirven como medidas contra el
spam (correo electrónico no solicitado). Ejemplos típicos:
· 1. Condición: Un mensaje de correo electrónico entrante contiene algunas palabras que normalmente aparecen
en los mensajes de spam
2. Acción: Eliminar el mensaje
· 1. Condición: Un mensaje de correo electrónico entrante contiene un archivo adjunto con una extensión .exe
2. Acción: Eliminar el archivo adjunto y enviar el mensaje al buzón de correo
· 1. Condición: Llega un mensaje de correo electrónico entrante enviado por su jefe
2. Acción: Mover el mensaje a la carpeta “Trabajo”
Es recomendable usar una combinación de reglas en programas antispam para facilitar la administración y filtrar el
spam de manera más eficaz.
185
3.11.3.4.2 Lista blanca
En general, una lista blanca es una lista de elementos o personas aceptados o que tienen acceso permitido. El
término “lista blanca de correos electrónicos” representa una lista de contactos de quienes el usuario desea recibir
mensajes. Dichas listas blancas se basan en palabras clave que se buscan en las direcciones de correo electrónico,
nombres de dominio o direcciones IP.
Si una lista blanca funciona en “modo exclusivo”, los mensajes provenientes de cualquier otra dirección, dominio o
dirección IP no se recibirán. Por el contrario, si una lista blanca no está en modo exclusivo, dichos mensajes no se
eliminarán; se filtrarán de alguna otra forma.
La lista blanca se basa en el principio opuesto que la lista negra. Las listas blancas son relativamente fáciles de
mantener, mucho más sencillas que las listas negras. Es recomendable el uso tanto de la lista blanca como de la
negra para filtrar el spam de manera más eficiente.
186
3.11.4 Tecnología ESET
187
3.11.4.4 Protección contra Botnet
La protección contra Botnet descubre malware al analizar sus protocolos de comunicación de red. El malware Botnet
cambia frecuentemente a diferencia de los protocolos de red, que no han cambiado en los últimos años. Esta nueva
tecnología ayuda a ESET a vencer el malware que intenta conectar su equipo a redes botnet.
La protección contra ataques basados en script admite los siguientes navegadores Web:
· Mozilla Firefox
· Google Chrome
· Internet Explorer
· Microsoft Edge
NOTA
Las versiones mínimas compatibles de los navegadores web podrán variar porque la firma de los archivos de los
exploradores cambia con frecuencia. Siempre es compatible con la última versión del navegador web.
188
3.11.4.9 Exploración UEFI
La exploración de interfaz de firmware extensible unificada (UEFI) es parte del sistema de prevención de
intrusiones basado en el host (HIPS) que protege a UEFI en su equipo. UEFI es un firmware que se carga en la
memoria al comienzo del proceso de inicio. El código está en un chip de memoria flash soldado en la placa principal.
Al infectarlo, los atacantes pueden implementar malware que sobrevive a las reinstalaciones y reinicios del
sistema. El malware también puede pasar desapercibido fácilmente con soluciones antimalware, ya que la mayoría
de ellos no explora esta capa.
La exploración UEFI está habilitada automáticamente. También puede iniciar una exploración del equipo
manualmente desde la ventana principal del programa haciendo clic en Exploración del equipo > Exploraciones
avanzadas > Exploración personalizada y seleccionando el destino sectores de inicio/UEFI. Para obtener más
información sobre las exploraciones del equipo, consulte la sección Exploración del equipo.
Si su equipo ya ha sido infectado por el malware UEFI, lea el siguiente artículo de la base de conocimiento de ESET:
Mi equipo está infectado con el malware UEFI, ¿qué debo hacer?
189